Dva škodlivé balíčky RubyGems, které se vydávají za populární Fastlane CI/CD pluginy, přesměrovávají požadavky na Telegram API na servery ovládané útočníky, aby zachytily a ukradly data. RubyGems je oficiální správce balíčků pro programovací jazyk Ruby, používaný k distribuci, instalaci a správě Ruby knihoven (gems), podobně jako npm pro JavaScript a PyPI pro Python.

Tyto balíčky zachycují citlivá data, včetně ID chatů a obsahu zpráv, přiložených souborů, přihlašovacích údajů k proxy a dokonce i tokenů botů, které lze použít k převzetí kontroly nad Telegram boty.

Na tento útok v dodavatelském řetězci upozornili experti ze společnosti Socket, kteří varovali komunitu vývojářů Ruby prostřednictvím zprávy.

Dva balíčky, které se typograficky podobají Fastlane, jsou stále dostupné na RubyGems pod následujícími názvy:

– fastlane-plugin-telegram-proxy: publikováno 30. května 2025, má 287 stažení

– fastlane-plugin-proxy_teleram: publikováno 24. května 2025, má 133 stažení

Fastlane je legitimní open-source plugin, který slouží jako automatizační nástroj pro vývojáře mobilních aplikací. Používá se pro podepisování kódu, kompilaci buildů, nahrávání do obchodů s aplikacemi, doručování notifikací a správu metadat.

Plugin „fastlane-plugin-telegram“ je legitimní rozšíření, které umožňuje Fastlane odesílat notifikace přes Telegram pomocí Telegram bota, který zveřejňuje zprávy na určeném kanálu.

To je užitečné pro vývojáře, kteří potřebují v reálném čase sledovat stav CI/CD pipeline ve svém Telegram workspace, aniž by museli kontrolovat dashboardy. Škodlivé gems objevené společností Socket jsou téměř totožné s legitimním pluginem – mají stejnou veřejnou API, readme soubor, dokumentaci i základní funkčnost.

Zdroj: BleepingComputer

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS