BufferZoneCorp 系 Ruby ジェムと Go モジュール、CI 狙いのサプライチェーン

Socket の調査では、GitHub アカウント BufferZoneCorp が Ruby ジェムと Go モジュールの束を公開し、当初は無害なユーティリティに見せかけたあと更新でペイロードを足すスリーパー型のサプライチェーンだと整理されている。Ruby 側では extconf.rb などインストール時に走る経路から環境変数や SSH 鍵、AWS・npm・RubyGems・GitHub CLI 周りのファイルを読み取り外部へ送る挙動が報告されている。Go 側では GITHUB_ENV や GOPROXY、go.sum を汚染する型、ワークフロー実行パスに偽の go ラッパーを置く型、authorized_keys へ固定公開鍵を追記してホストに残る型など、複数の亜種があるとされる。

公開名は knot-activesupport-logger や knot-devise-jwt-helper のように正当な Rails 周辺ツールに寄せた Ruby ジェム、github.com/BufferZoneCorp/go-metrics-sdk などインフラ系に紛れやすい Go モジュールが列挙されている。調査側は悪意ある Go モジュールを Go Security チームがブロックしたことに触れている。

影響を受けた可能性がある環境では、当該名前空間の依存を取り除き、触れうるトークンやクラウド鍵、SSH 鍵、GitHub Actions のワークフローとシークレットを点検し、必要ならローテーションするのが妥当である。CI ログや authorized_keys の不審なエントリも確認対象になる。

#参考文献

• Malicious Ruby Gems and Go Modules Impersonate Developer Tools to Steal Secrets and Poison CI
• Poisoned Ruby Gems and Go Modules Exploit CI Pipelines for Credential Theft