近年来,企业的安全意识抬头,重要系统可能都导入了各式的防护措施,黑客也转向开发者下手,并且借由提供免费开源工具和程序库的诱饵,作为传播恶意软件的渠道,进而从开发环境发动供应链攻击。例如,ReversingLabs威胁研究员Tomislav Maljic指出,他们在今年的2月下旬侦测到,有超过700个恶意软件,以Ruby程序语言开发工具的名义,上架到官方的工具市场RubyGems,其中有部分恶意软件,与某些原本市场里常见开发工具的名称、版本,以及用途描述等资料,完全一模一样,误导了不少开发人员下载到计算机。一旦这些恶意软件植入开发者的计算机,就会监控比特币付款资料,然后将钱包内容转移到特定账户。
RubyGems是Ruby社群的组件管理服务,让开发者能以统一的格式发布Ruby程序或是程序库供其他人也能快速使用,这些Ruby程序与程序库组件,统称为Gem。通过RubyGems,程序开发者便能快速架设所需的开发环境。
值得留意的是,前述的恶意软件已经被下载约10万次,而上述700多个恶意软件,都是由JimCarrey和PeterGibbons两名开发者提供,大部分都是在2月16日到25日之间上传。而有些恶意软件,更是借着显示的名称和说明信息,让开发者上当。像是一款名为Atlas_client的API用户端工具,便被攻击者冒名上架完全相同名称的恶意软件,这款恶意软件的下载数量有2,100次,相较于正牌Ruby组件被下载6,496次,冒名的恶意软件也骗倒不少开发者。Ruby官方获报后,也将上述的恶意软件从RubyGems下架。