Dua paket rubygem berbahaya yang menyamar sebagai fastlane ci/cd plugin yang populer mengarahkan permintaan API telegram ke server yang dikendalikan oleh penyerang untuk mencegat dan mencuri data.
Rubygems adalah manajer paket resmi untuk bahasa pemrograman Ruby, digunakan untuk mendistribusikan, menginstal, dan mengelola perpustakaan Ruby (GEMS), mirip dengan NPM untuk JavaScript dan PYPI untuk Python.
Paket -paket tersebut mencegat data sensitif, termasuk ID obrolan dan konten pesan, file terlampir, kredensial proxy, dan bahkan token bot yang dapat digunakan untuk membajak bot telegram.
Serangan rantai pasokan ditemukan oleh para peneliti soket, yang memperingatkan komunitas pengembang Ruby tentang risiko melalui laporan.
Dua paket yang diminta oleh Typosquat Fastlane masih hidup di Rubygems dengan nama -nama berikut:
- Fastlane-plugin-Telegram-Proxy: Diterbitkan pada 30 Mei 2025, telah 287 unduhan
- fastlane-plugin-proxy_teleram: Diterbitkan pada 24 Mei 2025, telah 133 unduhan
Jalur cepat ke pencurian data
Fastlane adalah plugin sumber terbuka yang sah yang berfungsi sebagai alat otomatisasi untuk pengembang aplikasi seluler. Ini digunakan untuk penandatanganan kode, menyusun build, mengunggah app store, pengiriman pemberitahuan, dan manajemen metadata.
‘Fastlane-plugin-Telegram’ adalah plugin yang sah yang memungkinkan Fastlane mengirim pemberitahuan atas telegram menggunakan bot telegram yang memposting pada saluran tertentu.
Ini bermanfaat bagi pengembang yang membutuhkan pembaruan real-time pada jaringan pipa CI/CD di dalam ruang kerja telegram mereka, memungkinkan mereka untuk melacak peristiwa utama tanpa harus memeriksa dasbor.
Sumber: Soket
Permata berbahaya yang ditemukan oleh soket hampir identik dengan plugin yang sah, menampilkan API publik yang sama, file readme, dokumentasi, dan fungsionalitas inti.
Satu-satunya perbedaan, meskipun yang penting, adalah menukar titik akhir API telegram yang sah (https://api.telegram.org/) dengan titik akhir yang dikendalikan proxy penyerang (kasar-otak-0c37[.]buidanhnam95[.]pekerja[.]dev), sehingga informasi sensitif dicegat (dan sangat mungkin dikumpulkan).
Sumber: Soket
Data curian termasuk token bot, data pesan, file apa pun yang diunggah, dan kredensial proxy jika dikonfigurasi.
Penyerang memiliki banyak kesempatan untuk eksploitasi dan kegigihan karena token bot telegram tetap berlaku sampai dicabut secara manual oleh korban.
Soket mencatat bahwa halaman pendaratan permata menyebutkan bahwa proxy “tidak menyimpan atau memodifikasi token bot Anda,” namun, tidak ada cara untuk memverifikasi klaim ini.
“Skrip pekerja cloudflare tidak terlihat secara publik, dan aktor ancaman mempertahankan kemampuan penuh untuk mencatat, memeriksa, atau mengubah data apa pun dalam perjalanan,” menjelaskan soket.
“Penggunaan proxy ini, dikombinasikan dengan pengetikan typosquatting plugin fastlane tepercaya, jelas menunjukkan niat untuk mengeluarkan token dan data pesan dengan kedok perilaku CI normal.”
“Selain itu, aktor ancaman belum menerbitkan kode sumber pekerja, meninggalkan implementasinya sepenuhnya buram.”
Pengembang yang telah menginstal dua permata berbahaya harus segera menghapusnya dan membangun kembali setiap biner seluler yang diproduksi setelah tanggal pemasangan. Juga, semua token bot yang digunakan dengan fastlane harus diputar karena telah dikompromikan.
Soket juga menyarankan pemblokiran lalu lintas ke ‘*. Pekerja[.]dev ‘kecuali dibutuhkan secara eksplisit.
Mengapa timnya membuang manajemen tambalan manual
Penambalan manual sudah ketinggalan zaman. Ini lambat, rawan kesalahan, dan sulit untuk dikurangi.
Bergabunglah dengan Kandji + Tines pada 4 Juni untuk melihat mengapa metode lama gagal. Lihat contoh dunia nyata tentang bagaimana tim modern menggunakan otomatisasi untuk menambal lebih cepat, memotong risiko, tetap patuh, dan melewatkan skrip yang kompleks.
