A equipe de pesquisa de ameaças da Socket expôs uma campanha persistente envolvendo mais de 60 pacotes RubyGems maliciosos que se disfarçam de ferramentas de automação para plataformas como Instagram, Twitter/X, TikTok, WordPress, Telegram, Kakao e Naver.
Ativo desde pelo menos março de 2023, o agente da ameaça que opera sob pseudônimos como zon, nowon, kwonsoonje e soonje implantou essas joias para fornecer funcionalidades legítimas, como postagem em massa e aumento de engajamento, enquanto exfiltra secretamente as credenciais do usuário e os identificadores do sistema.
Classificado como Malware infostealer, esses pacotes visam principalmente ambientes Windows, com foco em usuários sul-coreanos evidentes a partir de interfaces gráficas de usuário (GUIs) em coreano criadas usando Glimmer-DSL-LibUI e exfiltração para domínios .kr.
Ataque de longa duração à cadeia de suprimentos
Coletivamente acumulando mais de 275.000 downloads, as gemas não equivalem necessariamente a tantos compromissos, pois as execuções variam e várias instalações podem ocorrer em sistemas únicos.
A Socket notificou a equipe de segurança do RubyGems, solicitando a remoção das 16 gems ainda ativas sob os aliases nowon, kwonsoonje e soonje, enquanto 44 sob zon foram auto-arrancadas pelo ator, mas persistem em caches e instalações.
O mecanismo principal do malware envolve solicitar aos usuários credenciais de plataforma por meio de campos de entrada rotulados em coreano e, em seguida, transmiti-los imediatamente junto com o endereço MAC do host por meio de solicitações HTTP POST para servidores de comando e controle (C2), como programzon[.]com/auth/program/signin, appspace[.]kr/bbs/login_check.php e marketingduo[.]co[.]kr / bbs / login_check.php.
Esses endpoints, hospedados em quadros de avisos baseados em PHP, servem como painéis de coleta de credenciais, permitindo que o ator colete dados para possível revenda ou exploração adicional.
A análise do Socket AI Scanner de gems como iuz-64bit revela padrões idênticos em todo o cluster, onde credenciais e endereços MAC facilitam a impressão digital da vítima e a correlação da campanha.
A evolução da campanha abrange várias ondas, introduzindo suporte para novas plataformas a cada dois ou três meses, com redundância de infraestrutura por meio de Domínios C2 sem aposentar predecessores.
Yanking under zon aliases fragmenta a atribuição, permitindo reempacotamento e reimplantação enquanto evita a detecção baseada em metadados.
Segmentação de profissionais de marketing de chapéu cinza
Explicitamente adaptadas para profissionais de marketing sul-coreanos envolvidos em spam, SEO e engajamento sintético, as gemas exploram a dependência dos usuários de contas descartáveis e ferramentas de automação, permitindo uma operação não detectada por mais de um ano.
Vítimas, muitas vezes acessando painéis SMM como smmdoge[.]com para seguidores falsos, plataformas de backlink como SpamZilla para manipulação de pesquisa e gateways de SMS descartáveis como smshub[.]org para registros em massa, raramente relatam violações devido à descartabilidade da conta.
Logs de infostealer de mercados da dark web, como o Russian Market, confirmam infecções entre a dupla de marketing[.]co[.]clientes KR, com sistemas mostrando atividade em ferramentas de proxy da Bablosoft[.]com e mercados de contas como accs-market[.]com.
De acordo com o relatório, A promoção ocorre por meio dos canais coreanos Telegram e Kakao, anunciando “programas de backlink automático” e “ferramentas gratuitas de alto escalão”.
Notavelmente, joias como njongto_duo e jongmogtolon têm como alvo fóruns de discussão de ações, permitindo a postagem automática para especulação de ações enquanto roubam credenciais, potencialmente facilitando a manipulação de fóruns financeiros ou operações de influência.
Esse modelo de uso duplo sustenta a campanha, capacitando as atividades de chapéu cinza das vítimas, ao mesmo tempo em que concede ao ator acesso persistente.
Os defensores são incentivados a integrar ferramentas como o aplicativo GitHub do Socket para verificação de solicitações pull, CLI para alertas de tempo de instalação, extensão do navegador para navegação no ecossistema e MCP para codificação assistida por IA para mitigar esses riscos em cadeias de suprimentos em evolução.
Indicadores de Comprometimento (IOCs)
| Categoria | Indicadores |
|---|---|
| Joias maliciosas — nowon Alias | soonje_1, soonje_2, soonje_2_2, soonje_3, setago3, deltago4, board_posting_duo, tblog_duo, CAFE_Product, CAFE_General, CAFE_verillban, jongmogtolon |
| Joias maliciosas — kwonsoonje Alias | setago, setago2, deltago |
| Gems maliciosas — soonje Alias | deltago3 |
| Endpoints C2 e indicadores de rede | programzon[.]com/auth/program/signin, programzon[.]com, appspace[.]kr/bbs/login_check.php, appspace[.]KR, MarketingDuo[.]co[.]kr/bbs/login_check.php, marketingduo[.]co[.]kr, seven1.iwinv[.]net, duopro[.]co[.]Kr |
| Endereços de e-mail | mymin26@naver[.]com, rnjstnswp123@naver[.]com, marketingduo@marketingduo[.]com |
| Telegrama | @duo3333 |
| Sala Kakao OpenChat | https://open[.]kakao[.]com/o/sCxh7vCd |
The Ultimate SOC-as-a-Service Pricing Guide for 2025–Baixe de graça