{"id":849,"date":"2026-05-13T10:27:47","date_gmt":"2026-05-13T10:27:47","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/05\/13\/gemstuffer-abusa-de-mas-de-150-rubygems-para-filtrar-datos-eliminados-del-portal-del-consejo-del-reino-unido-cyberdefensa-mx\/"},"modified":"2026-05-13T10:27:47","modified_gmt":"2026-05-13T10:27:47","slug":"gemstuffer-abusa-de-mas-de-150-rubygems-para-filtrar-datos-eliminados-del-portal-del-consejo-del-reino-unido-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/05\/13\/gemstuffer-abusa-de-mas-de-150-rubygems-para-filtrar-datos-eliminados-del-portal-del-consejo-del-reino-unido-cyberdefensa-mx\/","title":{"rendered":"GemStuffer abusa de m\u00e1s de 150 RubyGems para filtrar datos eliminados del portal del Consejo del Reino Unido \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Los investigadores de ciberseguridad llaman la atenci\u00f3n sobre una nueva campa\u00f1a denominada GemStuffer<\/strong> que se ha dirigido al repositorio RubyGems con m\u00e1s de 150 gemas que utilizan el registro como canal de filtraci\u00f3n de datos en lugar de distribuci\u00f3n de malware.<\/p>\n

\u00abLos paquetes no parecen dise\u00f1ados para comprometer a los desarrolladores en masa\u00bb, Socket dicho<\/a>. \u00abMuchos tienen poca o ninguna actividad de descarga, y las cargas \u00fatiles son repetitivas, ruidosas e inusualmente aut\u00f3nomas\u00bb.<\/p>\n

\u00abEn cambio, los scripts obtienen p\u00e1ginas de portales de servicios democr\u00e1ticos del gobierno local del Reino Unido, empaquetan las respuestas recopiladas en archivos .gem v\u00e1lidos y publican esas gemas en RubyGems utilizando claves API codificadas\u00bb.<\/p>\n

El desarrollo se produce cuando RubyGems deshabilit\u00f3 temporalmente el registro de nuevas cuentas luego de lo que se describi\u00f3 como un gran ataque malicioso. Si bien no est\u00e1 claro si los dos conjuntos de actividades est\u00e1n relacionados, la compa\u00f1\u00eda de seguridad de aplicaciones dijo que GemStuffer se ajusta al \u00abmismo patr\u00f3n de abuso\u00bb, que implica el uso de paquetes reci\u00e9n creados con nombres basura para alojar los datos extra\u00eddos.<\/p>\n

En un nivel alto, la campa\u00f1a abusa de RubyGems como lugar para presentar el contenido del consejo eliminado. Para ello, obtiene las URL codificadas de los portales del consejo del Reino Unido, empaqueta las respuestas HTTP en archivos .gem v\u00e1lidos y publica esos archivos en RubyGems utilizando credenciales de registro integradas.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

En algunos casos, la carga \u00fatil incrustada dentro de la gema crea un entorno de credenciales de RubyGems temporal en \u00ab\/tmp\u00bb, anula la variante del entorno HOME, crea una gema localmente y la env\u00eda a RubyGems usando el interfaz de l\u00ednea de comandos de gemas<\/a> (CLI), en lugar de depender de las credenciales de RubyGems preexistentes en la m\u00e1quina de destino.<\/p>\n

Se ha descubierto que otras variantes de las gemas maliciosas evitan el componente CLI y prefieren cargar el archivo directamente a la API de RubyGems a trav\u00e9s de una solicitud HTTP POST. Una vez que se han publicado las nuevas gemas, todo lo que un atacante tiene que hacer es ejecutar un comando de \u00abb\u00fasqueda de gemas\u00bb con el nombre y la versi\u00f3n de la gema para acceder a los datos extra\u00eddos.<\/p>\n

\"\"<\/a><\/div>\n

Se ha descubierto que la novedosa campa\u00f1a de scraping est\u00e1 dirigida a los portales p\u00fablicos ModernGov utilizados por Lambeth, Wandsworth y Southwark, con el objetivo de recopilar calendarios de reuniones de comit\u00e9s, listados de elementos de la agenda, documentos PDF vinculados, informaci\u00f3n de contacto de funcionarios y contenido de feeds RSS. No est\u00e1 claro cu\u00e1les son exactamente los objetivos finales, ya que la informaci\u00f3n parece ser de acceso p\u00fablico de todos modos.<\/p>\n

Socket ha evaluado que la recopilaci\u00f3n y el archivo masivos y sistem\u00e1ticos de estos datos plantea la posibilidad de que el atacante pueda estar aprovechando el \u00abacceso al portal del consejo como pivote para demostrar su capacidad contra la infraestructura gubernamental\u00bb.<\/p>\n

\u00abPuede ser spam de registro, un gusano de prueba de concepto, un raspador automatizado que utiliza indebidamente RubyGems como capa de almacenamiento o una prueba deliberada de abuso de registro de paquetes\u00bb, dijo Socket. \u00abPero la mec\u00e1nica es intencional: generaci\u00f3n repetida de gemas, incrementos de versi\u00f3n, credenciales RubyGems codificadas, env\u00edos directos de registro y datos extra\u00eddos incrustados dentro de archivos de paquetes\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Los investigadores de ciberseguridad llaman la atenci\u00f3n sobre una nueva campa\u00f1a denominada GemStuffer que se ha dirigido al repositorio RubyGems con m\u00e1s de 150 gemas que utilizan el registro como canal de filtraci\u00f3n de datos en lugar de distribuci\u00f3n de malware. \u00abLos paquetes no parecen dise\u00f1ados para comprometer a los desarrolladores en masa\u00bb, Socket dicho. […]<\/p>\n","protected":false},"author":1,"featured_media":752,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[883,2482,24,627,70,2040,2480,2479,98,36,2481,1772,2457,1773],"class_list":["post-849","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-abusa","tag-consejo","tag-cyberdefensa-mx","tag-datos","tag-del","tag-eliminados","tag-filtrar","tag-gemstuffer","tag-mas","tag-para","tag-portal","tag-reino","tag-rubygems","tag-unido"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/849","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=849"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/849\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/752"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=849"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=849"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=849"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}