TG:恶意RubyGems冒充Fastlane窃取Telegram API数据

　　两个恶意的RubyGems包伪装成流行的Fastlane CI/CD插件，将Telegram API请求重定向到攻击者控制的服务器，以拦截和窃取数据。

　　这些软件包拦截敏感数据，包括聊天id和消息内容、附加文件、代理凭证，甚至可用于劫持Telegram机器人的bot令牌。

　　供应链攻击是由Socket研究人员发现的，他们通过一份报告警告了Ruby开发者社区这一风险。

　　Fastlane是一个合法的开源插件，可以作为移动应用开发者的自动化工具。它用于代码签名、编译构建、应用商店上传、通知传递和元数据管理。

　　这对需要实时更新Telegram工作空间中的CI/CD管道的开发人员很有帮助，允许他们跟踪关键事件而不必检查仪表板。

　　Socket发现的恶意gem几乎与合法插件相同，具有相同的公共API、自述文件、文档和核心功能。唯一的区别（尽管是至关重要的区别）是将合法的Telegram API端点（）与攻击者的代理控制端点（粗糙微风-0c37[.]buidanhnam95[.]workers[.]dev）交换，以便截获（并且很可能收集）敏感信息。

　　被盗数据包括bot令牌、消息数据、任何上传的文件以及配置好的代理凭证。攻击者有充分的机会进行利用和持久化，因为Telegram bot令牌在受害者手动撤销之前一直有效。

　　Socket注意到gems的登陆页面提到代理“不会存储或修改您的bot令牌”，然而，没有办法验证这一说法。Socket解释说：“Cloudflare Worker脚本是不公开可见的，威胁者保留了记录、检查或修改传输中的任何数据的全部能力。”

　　使用这个代理，再加上受信任的Fastlane插件的typposquatting，清楚地表明了在正常CI行为的幌子下窃取令牌和消息数据的意图。此外，威胁者没有公布Worker的源代码，使其实现完全不透明。

　　安全研究人员建议安装了这两个恶意gem的开发人员应该立即删除它们，并重新构建安装日期之后生成的任何移动二进制文件。此外，所有与Fastlane一起使用的bot令牌都应该被旋转，因为它们已被破坏。

　　特别声明：以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布，本平台仅提供信息存储服务。

　　明起模拟志愿填报！20余种升学路径提前了解，助力考生解锁上岸“新途径”！

　　雷克沙ARES PRO Gen5战神4TB固态图赏：黑红高性能游戏旗舰再临

　　摩托罗拉 Moto Tag 追踪器获谷歌 Find Hub 应用 UWB 支持

　　超苹果 A18 Pro，爆料称高通下一代骁龙 8 至尊版单核提升近 30%