韓国系の脅威アクター「soonje」「kwonsoonje」「zon」「nowon」が2023年3月以降、RubyGemsに60個の悪意のあるパッケージを公開した。
これらのジェムは合計で27万5,000回以上ダウンロードされ、本記事執筆時点で16個が稼働中、44個は削除済みである。パッケージには韓国のグレーハットマーケター向けの自動化ツールが含まれているが、同時にWindows向けの情報窃取マルウェアも仕込まれている。
対象プラットフォームはInstagram、X、TikTok、WordPress、Telegramなどのソーシャルメディアサイトである。マルウェアはユーザー名、パスワード、MACアドレスを窃取し、盗んだ認証情報をRussian Marketなどのダークウェブフォーラムで転売している。
Sonatypeが2025年第2四半期に追跡したOSSマルウェアの半数以上がデータ窃取を目的としていた。Socket社のKirill Boychenko氏とSonatype社のGarrett Calpouzos氏が研究結果を発表した。
From: 
60 RubyGems Packages Steal Data From Annoying Spammers
【編集部解説】
今回のRubyGemsにおける大規模な悪意ある攻撃は、オープンソースソフトウェア(OSS)のサプライチェーン攻撃の新たな側面を浮き彫りにしています。
この攻撃の最も興味深い点は、攻撃者が「悪者を標的にする」という巧妙な戦術を採用していることです。通常のサイバー攻撃では一般の開発者や企業を狙いますが、今回の韓国系脅威アクターは意図的にグレーハットマーケターやスパム業者を標的としました。これにより、被害者が自身の違法性の高い活動を隠そうとするため、攻撃が発覚しにくくなるという心理戦術が使われています。
ただし、この事案について重要な注意点があります。RubyGemsセキュリティチームは、一部の報告内容について「パッケージ削除のタイミングや対応状況に誤解を招く記述が含まれている」と公式に指摘しており、近日中に詳細な声明を発表予定です。この点は、セキュリティ研究と実際の対応状況の複雑さを示しています。
技術的な観点から見ると、この攻撃は現代のサプライチェーン攻撃の典型的なパターンを示しています。攻撃者は正当な機能を提供しながら、バックグラウンドで認証情報を窃取するという「デュアル機能」アプローチを採用しました。韓国語のGUIを使用し、地域特化型のプラットフォーム(Kakao、Naver、Tistory)との連携を謳うことで、標的ユーザーの信頼を獲得していました。
セキュリティの観点では、RubyGemsの相対的な人気の低さが監視の目を少なくし、攻撃者にとって有利な環境を作り出していました。これは、2025年第2四半期に発見された全OSS malware 16,279個のうち、55%がデータ窃取を目的としていたというSonatypeの統計とも合致する傾向です。
この事案が開発者コミュニティに与える影響は多面的です。まず、パッケージマネージャーの信頼性に対する懸念が高まることで、開発者はより慎重な依存関係の選択を迫られることになります。また、オープンソースの透明性が悪用される可能性があることを示し、コードレビューや依存関係監査の重要性を再認識させています。
ポジティブな側面として、この攻撃により業界全体のセキュリティ意識が向上し、より堅牢な検出システムの開発が促進される可能性があります。実際に、Socket社などのセキュリティ企業による自動検出システムが効果的に機能していることも示されています。
潜在的なリスクとしては、同様の手法が他のパッケージマネージャーに拡散する可能性があります。特に、合法性の境界線上にある開発者や企業を標的とすることで、報告を躊躇させる戦術は他の攻撃者にも模倣される恐れがあります。
長期的な視点では、この事案はオープンソースエコシステムの信頼モデルの見直しを促すでしょう。パッケージの検証プロセスの自動化、発行者の身元確認の強化、そして異常な挙動を検出するAI技術の導入などが加速する可能性があります。また、セキュリティチームと研究者間の連携強化の重要性も明らかになりました。
【用語解説】
RubyGems
Rubyプログラミング言語の公式パッケージマネージャーである。JavaScriptのnpmやPythonのPyPIと同様に、Ruby用ライブラリ(「ジェム」と呼ばれる)の配布、インストール、管理を行う。
韓国系脅威アクター
特定の国家機関との直接的な関係は不明だが、韓国語を使用し、韓国のプラットフォームを標的とする攻撃グループ。国家レベルの支援は確認されていないため、個人または小規模グループと推測される。
グレーハットマーケター
SEOスパム、フェイクエンゲージメント、自動投稿など、法的にはグレーゾーンだが倫理的には問題のあるマーケティング手法を用いるマーケター。完全に違法ではないが、プラットフォームの利用規約に違反する行為を行う。
サプライチェーン攻撃
ソフトウェアの開発・配布プロセスにおいて、信頼されたライブラリやパッケージに悪意のあるコードを仕込み、それを利用する開発者や最終ユーザーを感染させる攻撃手法。
依存関係ツリー
ソフトウェアが動作するために必要な他のライブラリやパッケージの関係性を階層構造で表したもの。パッケージAがパッケージBに依存し、BがCに依存するといった連鎖的な依存関係を指す。
Russian Market
サイバー犯罪者が盗んだ認証情報やクレジットカード情報を売買するダークウェブ上の違法マーケットプレイス。
【参考リンク】
Socket(外部)
ソフトウェアサプライチェーンセキュリティを専門とする企業。オープンソースパッケージの脅威検出とリアルタイム監視ソリューションを提供
Sonatype(外部)
ソフトウェアサプライチェーン管理とセキュリティを専門とする企業。Maven Centralの運営やNexusプラットフォームの開発で知られる
RubyGems.org(外部)
Ruby言語の公式パッケージリポジトリ。世界中の開発者がRubyライブラリを公開・検索・インストールできるプラットフォーム
Naver(外部)
韓国最大の検索エンジンサービス。ブログ、カフェ(フォーラム)、ニュース機能を統合したポータルサイトとして韓国で圧倒的なシェアを持つ
Kakao(外部)
韓国の代表的なIT企業。KakaoTalkメッセンジャーを中心に、ブログプラットフォームのTistoryなど多様なサービスを提供
【参考記事】
60 malicious Ruby gems downloaded 275,000 times steal credentials(外部)
BleepingComputerによる詳細な技術分析。Socket社が発見した60個の悪意あるパッケージの具体的な手法とC&Cサーバー情報を含む包括的な報告
RubyGems, PyPI Hit by Malicious Packages Stealing Credentials(外部)
The Hacker Newsによる攻撃手法の詳細解説。27万5,000回のダウンロード数と攻撃者の偽名使用戦術について報告
Open Source Malware Index Q2 2025: Data Exfiltration Remains Dominant(外部)
Sonatype社による2025年第2四半期の統計レポート。16,279個の新たな悪意あるパッケージを発見し、55%がデータ窃取を目的としていることを報告
Sonatype report finds 188% spike in open-source malware in the second quarter(外部)
SiliconANGLEによるSonatypeレポートの詳細分析。2025年Q2のオープンソースマルウェアが前年同期比188%増の16,279個に達したことを報告
60 Malicious Ruby Gems Used in Targeted Credential Theft Campaign – Reddit Discussion(外部)
RubyGemsセキュリティチームのMaciej Mensfeld氏による公式コメント。報告内容の一部に不正確な情報が含まれているとの公式見解を表明
【編集部後記】
今回のRubyGems攻撃は、セキュリティ研究の複雑さと、実際の対応との間にある微妙な違いも浮き彫りにしました。RubyGemsセキュリティチームからの異議申し立ては、私たち技術メディアにとっても重要な教訓となっています。
皆さんは普段、依存関係にあるパッケージの安全性をどのように確認していますか?また、セキュリティ研究者の報告と実際の運営チームの見解が食い違う場合、どちらを信頼すべきかという難しい問題についてどう考えられるでしょうか。
「悪者を標的にした攻撃」という今回の事案は、サイバーセキュリティの倫理的側面についても考えさせられます。ぜひ皆さんの視点をお聞かせください。一緒に、より安全なオープンソースエコシステムの未来について議論していければと思います。
