Dois pacotes maliciosos RubyGems, que se passavam por populares plugins Fastlane CI/CD, redirecionaram requisições da API do Telegram para servidores controlados por atacantes, a fim de interceptar e roubar dados.
RubyGems é o gerenciador de pacotes oficial da linguagem de programação Ruby, usado para distribuir, instalar e gerenciar bibliotecas Ruby (gems), similar ao npm para JavaScript e ao PyPI para Python.
Os pacotes interceptam dados sensíveis, incluindo IDs de chat e conteúdo de mensagens, arquivos anexados, credenciais de proxy e até tokens de bot que podem ser usados para sequestrar bots do Telegram.
O ataque à cadeia de suprimentos foi descoberto por pesquisadores da Socket, que alertaram a comunidade de desenvolvedores Ruby sobre o risco por meio de um relatório.
Os dois pacotes que fazem typosquatting do Fastlane ainda estão disponíveis no RubyGems sob os seguintes nomes:
- fastlane-plugin-telegram-proxy: Publicado em 30 de maio de 2025, possui 287 downloads
- fastlane-plugin-proxy_teleram: Publicado em 24 de maio de 2025, possui 133 downloads
Fastlane é um plugin de código aberto legítimo que serve como uma ferramenta de automação para desenvolvedores de aplicativos móveis.
Ele é usado para assinatura de código, compilação de builds, upload na loja de aplicativos, entrega de notificações e gerenciamento de metadados.
O 'fastlane-plugin-telegram' é um plugin legítimo que permite ao Fastlane enviar notificações pelo Telegram usando um bot do Telegram que posta em um canal especificado.
Isso é útil para desenvolvedores que precisam de atualizações em tempo real sobre pipelines CI/CD dentro de seu espaço de trabalho no Telegram, permitindo-lhes acompanhar eventos chave sem ter que verificar painéis de controle.
Os gems maliciosos descobertos pela Socket são quase idênticos ao plugin legítimo, apresentando a mesma API pública, arquivo readme, documentação e funcionalidade central.
A única diferença, embora crucial, é a substituição do endpoint legítimo da API do Telegram (https://api.telegram.org/) pelo endpoint controlado pelo proxy do atacante (rough-breeze-0c37[.]buidanhnam95[.]workers[.]dev), de modo que informações sensíveis são interceptadas (e muito provavelmente coletadas).
Os dados roubados incluem o token do bot, os dados da mensagem, quaisquer arquivos enviados e credenciais de proxy, se configuradas.
O atacante tem ampla oportunidade de exploração e persistência, pois tokens de bot do Telegram permanecem válidos até serem revogados manualmente pela vítima.
A Socket nota que as páginas de destino dos gems mencionam que o proxy "não armazena ou modifica seus tokens de bot", contudo, não há como verificar essa afirmação.
"Scripts de Cloudflare Worker não são visíveis ao público, e o ator de ameaça retém total capacidade de registrar, inspecionar ou alterar qualquer dado em trânsito", explica a Socket.
A utilização desse proxy, combinada com o typosquatting de um plugin Fastlane confiável, indica claramente a intenção de exfiltrar tokens e dados de mensagem sob a aparência de comportamento CI normal.
Além disso, o ator de ameaça não publicou o código-fonte do Worker, deixando sua implementação completamente opaca.
Desenvolvedores que instalaram os dois gems maliciosos devem removê-los imediatamente e reconstruir quaisquer binários móveis produzidos após a data de instalação.
Além disso, todos os tokens de bot usados com o Fastlane devem ser trocados, pois foram comprometidos.
A Socket também sugere bloquear o tráfego para '*.workers[.]dev' a menos que explicitamente necessário.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...