Registro no RubyGems Suspenso Após Ataque em Massa
O gerenciador de pacotes RubyGems suspendeu temporariamente o registro de novas contas devido a um ataque em larga escala, onde invasores publicaram centenas de pacotes maliciosos. A equipe está implementando medidas de segurança adicionais, incluindo limites de criação de contas e proteção WAF.
MundiX News·14 de maio de 2026·3 min de leitura·👁 3 views
Registro no RubyGems Suspenso Após Ataque em Massa
O RubyGems, principal gerenciador de pacotes do ecossistema Ruby, suspendeu temporariamente o registro de novas contas após um ataque em larga escala ao repositório. De acordo com representantes do projeto e pesquisadores, os invasores criaram contas em massa e publicaram centenas de pacotes maliciosos e "lixo".
A notícia foi inicialmente divulgada por Maciej Mensfeld, gerente sênior da Mend.io, responsável pela segurança da cadeia de suprimentos do RubyGems. A princípio, falou-se de um "ataque em larga escala" e centenas de pacotes, alguns dos quais continham exploits. Posteriormente, ficou claro que os invasores conseguiram carregar mais de 500 pacotes no repositório.
Como resultado, o registro no RubyGems foi suspenso, e agora, ao tentar criar uma conta, uma mensagem correspondente é exibida. Conforme explicado pelos desenvolvedores do projeto, as restrições permanecerão por mais alguns dias: a equipe está atualmente implementando limites adicionais para a criação de contas e configurando a proteção por meio de um WAF (Web Application Firewall) em colaboração com especialistas da Fastly.
De acordo com informações dos representantes do RubyGems, o ataque foi uma campanha de spam coordenada para publicar pacotes por meio de contas recém-criadas. Atualmente, todos os pacotes maliciosos já foram removidos e as contas dos invasores foram bloqueadas.
Presume-se que o objetivo dos invasores não eram os desenvolvedores, mas o próprio repositório. Mensfeld relatou que os invasores estavam tentando realizar ataques XSS (Cross-Site Scripting) e experimentando a exfiltração de dados. Ele também admitiu que o que estava acontecendo poderia ser apenas uma cobertura para atividades maliciosas mais sérias.
"Tenho um mau pressentimento sobre este ataque ao RubyGems: talvez haja algo mais complexo por trás disso. Não há evidências, apenas a intuição de um pesquisador de segurança. Espero estar errado", escreveu ele na rede social X.
Deve-se notar que o incidente ocorreu em meio à descoberta de outra campanha estranha, que os pesquisadores da empresa Socket chamaram de GemStuffer. Os especialistas descobriram mais de 150 pacotes no RubyGems que usavam o repositório não para distribuir malware, mas como um canal para armazenar e extrair dados.
Os pacotes baixavam automaticamente informações de portais municipais britânicos, empacotavam os dados recebidos em arquivos .gem e os publicavam no RubyGems usando chaves de API codificadas. Os pesquisadores explicaram que se tratava de calendários de reuniões, documentos PDF, feeds RSS e informações de contato dos funcionários. Por enquanto, o objetivo final dessa atividade não está claro, pois as informações coletadas eram públicas.
"Isso pode ser spam no registro, um worm experimental, um scraper automatizado usando o RubyGems como armazenamento ou um experimento consciente de abuso da infraestrutura do repositório", escreveram os especialistas da Socket.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Registro no RubyGems Suspenso Após Ataque em Massa
O RubyGems, principal gerenciador de pacotes do ecossistema Ruby, suspendeu temporariamente o registro de novas contas após um ataque em larga escala ao repositório. De acordo com representantes do projeto e pesquisadores, os invasores criaram contas em massa e publicaram centenas de pacotes maliciosos e "lixo".
A notícia foi inicialmente divulgada por Maciej Mensfeld, gerente sênior da Mend.io, responsável pela segurança da cadeia de suprimentos do RubyGems. A princípio, falou-se de um "ataque em larga escala" e centenas de pacotes, alguns dos quais continham exploits. Posteriormente, ficou claro que os invasores conseguiram carregar mais de 500 pacotes no repositório.
Como resultado, o registro no RubyGems foi suspenso, e agora, ao tentar criar uma conta, uma mensagem correspondente é exibida. Conforme explicado pelos desenvolvedores do projeto, as restrições permanecerão por mais alguns dias: a equipe está atualmente implementando limites adicionais para a criação de contas e configurando a proteção por meio de um WAF (Web Application Firewall) em colaboração com especialistas da Fastly.
De acordo com informações dos representantes do RubyGems, o ataque foi uma campanha de spam coordenada para publicar pacotes por meio de contas recém-criadas. Atualmente, todos os pacotes maliciosos já foram removidos e as contas dos invasores foram bloqueadas.
Presume-se que o objetivo dos invasores não eram os desenvolvedores, mas o próprio repositório. Mensfeld relatou que os invasores estavam tentando realizar ataques XSS (Cross-Site Scripting) e experimentando a exfiltração de dados. Ele também admitiu que o que estava acontecendo poderia ser apenas uma cobertura para atividades maliciosas mais sérias.
"Tenho um mau pressentimento sobre este ataque ao RubyGems: talvez haja algo mais complexo por trás disso. Não há evidências, apenas a intuição de um pesquisador de segurança. Espero estar errado", escreveu ele na rede social X.
Deve-se notar que o incidente ocorreu em meio à descoberta de outra campanha estranha, que os pesquisadores da empresa Socket chamaram de GemStuffer. Os especialistas descobriram mais de 150 pacotes no RubyGems que usavam o repositório não para distribuir malware, mas como um canal para armazenar e extrair dados.
Os pacotes baixavam automaticamente informações de portais municipais britânicos, empacotavam os dados recebidos em arquivos .gem e os publicavam no RubyGems usando chaves de API codificadas. Os pesquisadores explicaram que se tratava de calendários de reuniões, documentos PDF, feeds RSS e informações de contato dos funcionários. Por enquanto, o objetivo final dessa atividade não está claro, pois as informações coletadas eram públicas.
"Isso pode ser spam no registro, um worm experimental, um scraper automatizado usando o RubyGems como armazenamento ou um experimento consciente de abuso da infraestrutura do repositório", escreveram os especialistas da Socket.
📤 Compartilhar & Baixar
📩 Newsletter MundiX
Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.
Ao assinar você concorda em receber e-mails. Cancele quando quiser.
