Un total de 60 paquetes maliciosos han sido identificados en el ecosistema RubyGems, haciéndose pasar por herramientas legítimas de automatización para redes sociales, blogs y mensajería. Según la firma de ciberseguridad Socket, estos paquetes, activos al menos desde marzo de 2023, han sido descargados más de 275.000 veces. Su objetivo: sustraer credenciales de usuarios desprevenidos.
No obstante, la cifra de descargas no refleja necesariamente el número real de sistemas comprometidos, ya que no todas las instalaciones implican ejecución, y múltiples descargas pueden haberse realizado en un mismo dispositivo.
De acuerdo con el investigador Kirill Boychenko, el atacante —que utiliza los alias zon, nowon, kwonsoonje y soonje— distribuyó gemas que ofrecían funciones como publicaciones masivas o interacción automatizada, pero que, en segundo plano, filtraban credenciales a servidores bajo su control mediante interfaces gráficas diseñadas para capturar datos de inicio de sesión.
Algunas gemas, como njongto_duo y jongmogtolon, se enfocaban en foros financieros, ofreciendo herramientas para inundar debates con menciones de acciones, narrativas bursátiles y participación simulada, manipulando así la percepción del mercado. Entre los dominios utilizados para recibir la información se encuentran programzon[.]com, appspace[.]kr y marketingduo[.]co[.]kr, los cuales promocionaban servicios de mensajería masiva y rastreo de números telefónicos.
Socket estima que las principales víctimas son especialistas en marketing de “sombrero gris”, que utilizan este tipo de software para campañas de spam, SEO y manipulación de métricas. Los paquetes maliciosos apuntaban sobre todo a usuarios de Windows, con un claro enfoque en el mercado surcoreano, evidenciado por interfaces en coreano y dominios .kr.
Paralelamente, GitLab ha descubierto varios paquetes de typosquatting en el índice de Python (PyPI) destinados a robar criptomonedas de billeteras Bittensor. Estos paquetes imitaban a bibliotecas legítimas —como bittensor y bittensor-cli— para interceptar operaciones de staking. Según GitLab, los atacantes insertaron código malicioso en funciones legítimas, explotando tanto la complejidad técnica como la confianza de los usuarios en procesos rutinarios de blockchain.
Como respuesta, PyPI ha impuesto nuevas restricciones para bloquear intentos de explotar vulnerabilidades en la manipulación de archivos ZIP. A partir del 1 de febrero de 2026, rechazará cualquier paquete wheel cuyo contenido no coincida con su archivo de metadatos RECORD.
La Python Software Foundation agradeció a Caleb Brown (Google) y Tim Hatch (Netflix) por reportar el problema, e indicó que los usuarios serán notificados si sus cargas incumplen las nuevas normas.
thehackernews[.]com
