Они выдавали себя за популярные инструменты автоматизации для соцсетей и блогов, но на деле встраивали фишинговый функционал для кражи учётных данных.
Все они были ориентированы в первую очередь на разработчиков из Южной Кореи, использующих автоматизацию для Instagram, TikTok, X, Telegram, Naver, WordPress и Kakao, пишет Securitylab. Авторы пакетов действовали через несколько учётных записей (zon, nowon, kwonsoonje, soonje), чтобы затруднить блокировку.
Для маскировки вредоносные гемы имели рабочий графический интерфейс и заявленный функционал, однако при вводе логина и пароля данные в открытом виде отправлялись на заранее прописанные C2-сервера — programzon[.]com, appspace[.]kr и marketingduo[.]co[.]kr. Помимо учётных данных, собирались MAC-адрес устройства и название пакета (для отслеживания «эффективности кампании»). Иногда инструмент даже имитировал «успешный» вход, хотя на самом деле соединения с реальным сервисом не происходило.
В списке — типичные примеры подмены и опечаток:
Socket смог связать украденные данные с логами, продаваемыми на даркнет-площадках — они содержали взаимодействия с теми же C2-доменами. На момент публикации минимум 16 вредоносных пакетов всё ещё находились в открытом доступе, и все они были переданы на рассмотрение команде RubyGems.