【安全资讯】恶意RubyGems伪装成Fastlane插件窃取Telegram API数据

概要：

近日，安全研究人员发现两个恶意RubyGems包伪装成流行的Fastlane CI/CD插件，通过重定向Telegram API请求到攻击者控制的服务器来窃取敏感数据。这种供应链攻击针对使用RubyGems的开发者社区，可能造成严重的隐私泄露和系统安全风险。

主要内容：

Socket研究人员发现，两个名为fastlane-plugin-telegram-proxy和fastlane-plugin-proxy_teleram的恶意RubyGems包正在模仿合法的Fastlane插件。这些恶意包通过typosquatting（域名抢注）技术伪装成Fastlane的Telegram通知插件，但实际上将API请求重定向到攻击者控制的Cloudflare Worker端点（rough-breeze-0c37[.]buidanhnam95[.]workers[.]dev）。

这些恶意包几乎与合法插件完全相同，包括相同的公共API、文档和核心功能。关键区别在于它们替换了合法的Telegram API端点，从而可以拦截包括聊天ID、消息内容、附件文件、代理凭证以及可用于劫持Telegram机器人的bot令牌等敏感数据。

攻击者利用Telegram bot令牌在被手动撤销前一直有效的特性，获得了充分的利用和持久化机会。虽然项目描述声称代理"不存储或修改你的bot令牌"，但由于Cloudflare Worker脚本不可公开查看，攻击者实际上可以记录、检查或修改传输中的任何数据。

安全专家建议已安装这两个恶意gem的开发者立即移除它们，并重建安装日期后产生的所有移动二进制文件。同时，所有与Fastlane一起使用的bot令牌都应轮换，因为它们可能已经泄露。Socket还建议阻止对'*.workers[.]dev'的流量，除非明确需要。