Ancaman baru kembali menyerang ekosistem RubyGems. Sebanyak 60 paket berbahaya ditemukan menyamar sebagai alat otomasi media sosial, blogging, hingga layanan pesan. Tujuannya? Mencuri kredensial para pengguna lalu kemungkinan menjualnya di forum gelap seperti Russian Market.
Menurut temuan perusahaan keamanan supply chain Socket, kampanye ini sudah aktif sejak Maret 2023, dengan total unduhan paket mencapai 275.000 kali. Namun, angka ini belum tentu mencerminkan jumlah korban sebenarnya, karena tidak semua unduhan berarti eksekusi di perangkat.
Peneliti keamanan Kirill Boychenko mengungkap bahwa pelaku yang menggunakan alias zon, nowon, kwonsoonje, dan soonje menerbitkan gem berbahaya yang menawarkan fungsi seperti bulk posting, engagement otomatis, hingga spam di platform seperti Instagram, TikTok, WordPress, Telegram, Kakao, dan Naver.
Meski terlihat berfungsi sesuai janji, paket-paket ini diam-diam mengirimkan username dan password korban ke server yang dikuasai pelaku, seperti programzon[.]com, appspace[.]kr, dan marketingduo[.]co[.]kr. Target utama serangan ini tampaknya adalah grey-hat marketer yang menggunakan alat spam, SEO, dan engagement palsu.
Beberapa gem bahkan menyasar forum investasi dengan tujuan membanjiri diskusi saham menggunakan narasi dan ticker palsu untuk manipulasi opini publik.
Setiap gem berfungsi sebagai infostealer berbasis Windows, dengan indikasi target utama adalah pengguna di Korea Selatan, terlihat dari UI berbahasa Korea dan server .kr sebagai tujuan eksfiltrasi data.
Ancaman tidak berhenti di RubyGems. GitLab juga mendeteksi paket typosquatting di PyPI yang meniru pustaka bittensor untuk mencuri cryptocurrency dari dompet Bittensor. Pelaku menyelipkan kode jahat di fungsi staking, memanfaatkan kebiasaan pengguna yang menganggap proses tersebut rutin dan aman.
Daftar pustaka palsu yang ditemukan:
- bitensor (versi 9.9.4 & 9.9.5)
- bittenso-cli (versi 9.9.4)
- qbittensor (versi 9.9.4)
- bittenso (versi 9.9.5)
Menanggapi ancaman ini, Python Package Index (PyPI) menerapkan kebijakan baru untuk menolak paket wheel (arsip ZIP) yang mencoba mengeksploitasi teknik ZIP confusion attack untuk menyelundupkan malware. Mulai 1 Februari 2026, PyPI akan menolak unggahan baru yang isi ZIP-nya tidak sesuai dengan file metadata RECORD.
Langkah ini lahir berkat laporan dari Google Open Source Security Team dan Netflix, yang menemukan bahwa perbedaan perilaku ekstraksi ZIP pada beberapa installer dapat dimanfaatkan untuk mengelabui sistem deteksi.
Singkatnya, tren serangan supply chain software makin kompleks—menyasar ekosistem populer, memanfaatkan kebiasaan pengguna, dan menyamar sebagai alat yang bermanfaat. Baik Anda developer, marketer, atau pengguna biasa, cek ulang sumber paket dan domain sebelum menginstal atau memasukkan kredensial.