安全研究人员发现,两款恶意RubyGems软件包伪装成知名的Fastlane CI/CD插件,通过将Telegram API请求重定向至攻击者控制的服务器来拦截并窃取数据。来源。RubyGems是Ruby编程语言的官方包管理器,负责分发、安装和管理Ruby库。此次供应链攻击由Socket研究人员发现,他们通过报告提醒了Ruby开发者社区相关风险。
这两个恶意包分别是fastlane-plugin-telegram-proxy和fastlane-plugin-proxy_teleram,均在RubyGems上发布,其中前者已有287次下载,后者则有133次下载。恶意包与合法插件几乎一致,拥有相同的公共API、说明文件和核心功能,但攻击者将合法的Telegram API端点替换为其控制的代理端点,使敏感信息被拦截。
被窃取的数据包括聊天ID、消息内容、上传文件以及代理凭证等,甚至可以利用窃取的机器人令牌劫持Telegram机器人。由于Telegram机器人令牌在用户手动撤销之前始终有效,攻击者有充分的机会进行利用和持久化。尽管恶意包页面声称不会存储或修改机器人令牌,但这一说法无法验证。Socket专家指出,攻击者可以完全记录、检查或修改传输中的任何数据。