RubyGems

將套件庫當成雲端硬碟？分析 GemStuffer 如何濫用 RubyGems 進行資料外洩

此案例展示了一種極具創意但低劣的基礎設施濫用手段。我判定該攻擊目前的破壞力較低，因為其僅利用公開資料且未直接感染用戶，但其『將 Registry 視為儲存空間』的邏輯具有高度危險性。若未來將此模式結合惡意程式碼分發，將使偵測難度大幅提升，因此該行為應被視為高風險的技術演練。

RubyGems 遭遇大規模供應鏈攻擊：從新帳號禁用看開源套件庫的安全風險

此內容精準地將單一安全事件昇華為系統性的工程教育，評價為『高品質的警示指南』。其優勢在於將複雜的供應鏈攻擊邏輯簡化為易懂的開發者視角，並給出具體可執行的防禦路徑；惟保留條件在於文中未深入探討自動化掃描工具（如 Snyk 或 Dependabot）的整合，僅停留在手動審查層面。

被投毒的 Ruby Gems 與 Go Modules 利用 CI 管線竊取憑證

本文探討針對 Ruby 和 Go 生態系的供應鏈攻擊，分析攻擊者如何透過偽裝套件竊取敏感憑證並操縱 CI 流程。文章詳細說明了 Typosquatting 與 Wrapper 封裝等手法，並提供最小權限原則等防禦對策。