11/08/25
Они выдавали себя за популярные инструменты автоматизации для соцсетей и блогов, но на деле встраивали фишинговый функционал для кражи учётных данных.
Все они были ориентированы в первую очередь на разработчиков из Южной Кореи, использующих автоматизацию для Instagram, TikTok, X, Telegram, Naver, WordPress и Kakao, пишет Securitylab. Авторы пакетов действовали через несколько учётных записей (zon, nowon, kwonsoonje, soonje), чтобы затруднить блокировку.
Для маскировки вредоносные гемы имели рабочий графический интерфейс и заявленный функционал, однако при вводе логина и пароля данные в открытом виде отправлялись на заранее прописанные C2-сервера — programzon[.]com, appspace[.]kr и marketingduo[.]co[.]kr. Помимо учётных данных, собирались MAC-адрес устройства и название пакета (для отслеживания «эффективности кампании»). Иногда инструмент даже имитировал «успешный» вход, хотя на самом деле соединения с реальным сервисом не происходило.
В списке — типичные примеры подмены и опечаток:
- wp_posting_duo, wp_posting_zon — под WordPress;
- tg_send_duo, tg_send_zon — под Telegram-боты;
- backlink_zon, back_duo — SEO/линкбилдинг;
- nblog_duo, nblog_zon, tblog_duopack, tblog_zon — блог-платформы;
- cafe_basics[_duo], cafe_buy[_duo], cafe_bey и др. — под Naver Café.
Socket смог связать украденные данные с логами, продаваемыми на даркнет-площадках — они содержали взаимодействия с теми же C2-доменами. На момент публикации минимум 16 вредоносных пакетов всё ещё находились в открытом доступе, и все они были переданы на рассмотрение команде RubyGems.
