恶意RubyGems冒充Fastlane窃取Telegram API数据

两个恶意的 RubyGems 包伪装成流行的 Fastlane CI/CD 插件，将 Telegram API 请求重定向到攻击者控制的服务器，以拦截和窃取数据。

RubyGems 是 Ruby 编程语言的官方包管理器，用于分发、安装和管理 Ruby 库（gems），类似于 JavaScript 的 npm 和 Python 的 PyPI。

这些软件包拦截敏感数据，包括聊天 id 和消息内容、附加文件、代理凭证，甚至可用于劫持 Telegram 机器人的 bot 令牌。

供应链攻击是由 Socket 研究人员发现的，他们通过一份报告警告了 Ruby 开发者社区这一风险。

这两个包在 RubyGems 上仍然存在，它们的名字如下：

·fastlane-plugin-telegram-proxy：发布于 2025 年 5 月 30 日，有 287 次下载

·fastlane-plugin-proxy_teleram：发布于 2025 年 5 月 24 日，有 133 次下载

窃取数据的捷径

Fastlane 是一个合法的开源插件，可以作为移动应用开发者的自动化工具。它用于代码签名、编译构建、应用商店上传、通知传递和元数据管理。

" Fastlane -plugin- Telegram "是一个合法的插件，允许 Fastlane 通过 Telegram 发送通知，使用在指定频道上发布的 Telegram bot。

这对需要实时更新 Telegram 工作空间中的 CI/CD 管道的开发人员很有帮助，允许他们跟踪关键事件而不必检查仪表板。

在 RubyGems 上搜索 Fastlane 时出现恶意信息

Socket 发现的恶意 gem 几乎与合法插件相同，具有相同的公共 API、自述文件、文档和核心功能。唯一的区别（尽管是至关重要的区别）是将合法的 Telegram API 端点（https://api.telegram.org/）与攻击者的代理控制端点（粗糙微风 -0c37 [ . ] buidanhnam95 [ . ] workers [ . ] dev）交换，以便截获（并且很可能收集）敏感信息。

来自项目描述

被盗数据包括 bot 令牌、消息数据、任何上传的文件以及配置好的代理凭证。攻击者有充分的机会进行利用和持久化，因为 Telegram bot 令牌在受害者手动撤销之前一直有效。

Socket 注意到 gems 的登陆页面提到代理"不会存储或修改您的 bot 令牌"，然而，没有办法验证这一说法。Socket 解释说：" Cloudflare Worker 脚本是不公开可见的，威胁者保留了记录、检查或修改传输中的任何数据的全部能力。"

使用这个代理，再加上受信任的 Fastlane 插件的 typposquatting，清楚地表明了在正常 CI 行为的幌子下窃取令牌和消息数据的意图。此外，威胁者没有公布 Worker 的源代码，使其实现完全不透明。

安全研究人员建议安装了这两个恶意 gem 的开发人员应该立即删除它们，并重新构建安装日期之后生成的任何移动二进制文件。此外，所有与 Fastlane 一起使用的 bot 令牌都应该被旋转，因为它们已被破坏。