两个恶意的RubyGems包伪装成流行的Fastlane CI/CD插件,将Telegram API请求重定向到攻击者控制的服务器,以拦截和窃取数据。
RubyGems是Ruby编程语言的官方包管理器,用于分发、安装和管理Ruby库(gems),类似于JavaScript的npm和Python的PyPI。
这些软件包拦截敏感数据,包括聊天id和消息内容、附加文件、代理凭证,甚至可用于劫持Telegram机器人的bot令牌。
供应链攻击是由Socket研究人员发现的,他们通过一份报告警告了Ruby开发者社区这一风险。
这两个包在RubyGems上仍然存在,它们的名字如下:
·fastlane-plugin-telegram-proxy:发布于2025年5月30日,有287次下载
·fastlane-plugin-proxy_teleram:发布于2025年5月24日,有133次下载
窃取数据的捷径
Fastlane是一个合法的开源插件,可以作为移动应用开发者的自动化工具。它用于代码签名、编译构建、应用商店上传、通知传递和元数据管理。
“Fastlane -plugin- Telegram”是一个合法的插件,允许Fastlane通过Telegram发送通知,使用在指定频道上发布的Telegram bot。
这对需要实时更新Telegram工作空间中的CI/CD管道的开发人员很有帮助,允许他们跟踪关键事件而不必检查仪表板。
在RubyGems上搜索Fastlane时出现恶意信息
Socket发现的恶意gem几乎与合法插件相同,具有相同的公共API、自述文件、文档和核心功能。唯一的区别(尽管是至关重要的区别)是将合法的Telegram API端点(https://api.telegram.org/)与攻击者的代理控制端点(粗糙微风-0c37[.]buidanhnam95[.]workers[.]dev)交换,以便截获(并且很可能收集)敏感信息。
来自项目描述
被盗数据包括bot令牌、消息数据、任何上传的文件以及配置好的代理凭证。攻击者有充分的机会进行利用和持久化,因为Telegram bot令牌在受害者手动撤销之前一直有效。
Socket注意到gems的登陆页面提到代理“不会存储或修改您的bot令牌”,然而,没有办法验证这一说法。Socket解释说:“Cloudflare Worker脚本是不公开可见的,威胁者保留了记录、检查或修改传输中的任何数据的全部能力。”
使用这个代理,再加上受信任的Fastlane插件的typposquatting,清楚地表明了在正常CI行为的幌子下窃取令牌和消息数据的意图。此外,威胁者没有公布Worker的源代码,使其实现完全不透明。
安全研究人员建议安装了这两个恶意gem的开发人员应该立即删除它们,并重新构建安装日期之后生成的任何移动二进制文件。此外,所有与Fastlane一起使用的bot令牌都应该被旋转,因为它们已被破坏。