Hacker überschwemmten die RubyGems-Plattform mit Zehntausenden schädlichen Paketen und zwangen die Betreiber zu drastischen Maßnahmen.
Automatisierte Flut und Sicherheitslücken
Der Angriff begann am 11. Mai 2026, als Sicherheitssysteme der Firma Mend.io rund 120 verdächtige Pakete identifizierten. Auffällig waren die ungewöhnlichen Veröffentlichungsmuster, die vom normalen Entwicklerverhalten abwichen. Doch innerhalb von 24 Stunden eskalierte die Situation dramatisch.
Die Angreifer nutzten eine bis dahin unbekannte Sicherheitslücke im Kontoverwaltungssystem von RubyGems aus. Diese Schwachstelle erlaubte die automatisierte Erstellung Tausender Konten samt zugehöriger API-Schlüssel. Bevor ein Patch eingespielt werden konnte, überschwemmten die Hacker die Registry mit einer massiven Menge an Inhalten.
Immer mehr Unternehmen werden Opfer von gezielten Cyberangriffen, wie der aktuelle Vorfall bei RubyGems eindrucksvoll zeigt. Experten erklären in diesem kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenlose Sicherheits-Checkliste jetzt herunterladen
Während die Betreiber zunächst von über 500 bösartigen Paketen sprachen, gehen Branchenanalysen von Zehntausenden Versuchen aus. Diese Flut wirkte wie eine Distributed-Denial-of-Service-Attacke auf die Moderationskapazitäten der Plattform. Am 12. Mai zogen die Verantwortlichen die Notbremse und stellten alle neuen Registrierungen ein.
Maciej Mensfeld, Sicherheitsexperte bei Mend.io und Mitglied des RubyGems-Sicherheitsteams, bestätigte: „Das primäre Ziel der Flut schien der Angriff auf die Registry selbst zu sein.“ Das Team arbeitete die Nacht durch, um Gegenmaßnahmen zu implementieren – darunter strengere Ratenbegrenzungen und die Aktivierung erweiterter Web Application Firewall-Schutzmaßnahmen in Zusammenarbeit mit dem Content-Delivery-Netzwerk Fastly.
Gezielte Angriffe auf die Entwickler
Anders als bei vielen früheren Supply-Chain-Attacken, die auf Typosquatting oder Dependency-Confusion setzten, zielte dieser Angriff direkt auf die Verwalter des RubyGems-Ökosystems. Sicherheitsanalysten entdeckten, dass zahlreiche hochgeladene Pakete speziell für Cross-Site-Scripting und Datendiebstahl aus den Umgebungen der RubyGems-Mitarbeiter konzipiert waren.
Das Ziel: Administrative Zugangsdaten abgreifen oder unbefugten Zugriff auf die zentralen Verwaltungswerkzeuge der Plattform erlangen. Vertreter von Ruby Central, der Organisation hinter RubyGems, beschrieben die Attacke als koordinierte Spam-Kampagne.
Marty Haught von Ruby Central betonte, dass sich die Aktivitäten weitgehend auf neu angelegte Konten beschränkten. Dies ermöglichte dem Team, die schädlichen Pakete zu isolieren und zu entfernen, ohne legitime Entwickler zu beeinträchtigen. Bis zum 13. Mai 2026 meldete die Registry, dass die bösartige Spam-Aktivität neutralisiert und die Bereinigung nahezu abgeschlossen sei.
Dennoch bleiben Sicherheitsforscher besorgt: Die massive Spam-Welle könnte als Ablenkung für subtilere Eindringversuche gedient haben. Die automatisierte Kontenerstellung zur Umgehung traditioneller Registry-Verteidigungsmechanismen stellt eine deutliche Eskalation im Wettrüsten zwischen Open-Source-Betreuern und Cyberkriminellen dar.
Die GemStuffer-Kampagne: Pakete als Datenablagen
Parallel zur Registry-Überflutung identifizierten Forscher der Sicherheitsfirma Socket eine separate, aber möglicherweise verwandte Kampagne namens GemStuffer. Diese nutzte über 100 Ruby-Pakete nicht als herkömmliche Schadsoftware, sondern als Datentransportmechanismus.
Die Pakete enthielten Skripte, die öffentlich zugängliche Daten von britischen Kommunalverwaltungen abgriffen – insbesondere aus den Bezirken Lambeth, Wandsworth und Southwark. Die gescrapten Informationen, darunter Ratskalender, Ausschusslinks und Tagesordnungen, wurden in den Paketarchiven versteckt und zurück in die RubyGems-Registry hochgeladen.
Die Sicherheit der IT-Infrastruktur zu stärken, muss nicht immer hohe Investitionen erfordern. Das kostenlose E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. IT-Sicherheit ohne teure Investitionen stärken
Diese Technik verwandelt die Paketverwaltung in eine Speicherschicht für gestohlene Daten. Herkömmliche Netzwerküberwachungswerkzeuge haben Schwierigkeiten, solche Aktivitäten zu erkennen, da der Datenverkehr wie legitime Interaktionen mit einer vertrauenswürdigen Quelle aussieht.
Socket-Forscher wiesen auf die repetitive Generierung von Paketen und Versionsnummern hin, die mit fest codierten Zugangsdaten direkt in die Registry gepusht wurden. Die zeitliche und methodische Überschneidung mit dem Hauptangriff deutet auf ein hohes Maß an Automatisierung hin.
Branchenweite Bedrohungslage
Der Angriff auf RubyGems steht nicht isoliert da. Auch andere große Software-Repositories wie das JavaScript-Register npm und der Python Package Index wurden in den letzten Tagen mit ähnlichen Angriffswellen konfrontiert. Besonders besorgniserregend ist der Shai-Hulud-Wurm, eine sich selbst verbreitende Bedrohung, die Hunderte Pakete über mehrere Ökosysteme hinweg infiziert haben soll.
Diese Entwicklung zwingt Unternehmen zu einem Umdenken. Branchenführer fordern einen Zero-Trust-Ansatz für die Paketverwaltung: Selbst neu veröffentlichte Versionen etablierter Bibliotheken sollten mit Misstrauen betrachtet werden, bis sie verifiziert sind.
Für Unternehmen mit Ruby-basierten Arbeitslasten empfehlen Sicherheitsexperten:
– Exakte Versionen in Lockfiles festlegen
– Temporäre Ordner von Build-Maschinen auf unerwartete Artefakte prüfen
– Ausgehende Paket-Pushes aus CI-Pipelines blockieren, die nicht zur Veröffentlichung autorisiert sind
Ausblick: Strengere Schutzmaßnahmen
Seit dem 14. Mai 2026 bleiben neue Registrierungen bei RubyGems geschlossen – voraussichtlich für mehrere Tage. Diese Zeit nutzen die Betreiber, um strengere Ratenbegrenzungen für die Kontenerstellung zu implementieren und die mit Fastly koordinierten Web Application Firewall-Schutzmaßnahmen vollständig auszurollen.
Die langfristige Strategie setzt auf die breitere Einführung von Trusted Publishing. Diese Sicherheitsfunktion ersetzt langlebige API-Token durch kurzlebige, umgebungsspezifische Anmeldeinformationen. Ziel ist es, das Risiko von Credential-Diebstahl zu eliminieren, das eine Schlüsselkomponente der jüngsten Angriffe war.
Zudem sind strengere Überprüfungsprozesse für neue Herausgeber geplant, um die automatisierte Bot-gesteuerte Flut zu verhindern. Der Erfolg dieser Maßnahmen wird entscheidend für die Integrität des gesamten Ruby-Ökosystems sein. Die jüngste Offensive zeigt: Die Sicherheit einer Programmiersprache ist nur so stark wie das Repository, das ihren Code hostet.
