Deux packages RubyGems malveillants posant des plugins Fastlane CI/CD populaires redirigent les demandes d’API Telegram vers des serveurs contrôlés par des attaquants pour intercepter et voler des données.
RubyGems est le gestionnaire de paquets officiel du langage de programmation Ruby, utilisé pour distribuer, installer et gérer des bibliothèques Ruby (gems), similaires à npm pour JavaScript et PyPI pour Python.
Les packages interceptent des données sensibles, y compris les identifiants de discussion et le contenu des messages, les fichiers joints, les informations d’identification du proxy et même les jetons de bot qui peuvent être utilisés pour détourner des robots Telegram.
L’attaque de la chaîne d’approvisionnement a été découverte par des chercheurs de Socket, qui ont averti la communauté des développeurs Ruby du risque via un rapport.
Les deux packages que typosquat Fastlane sont toujours en ligne sur RubyGems sous les noms suivants:
- fastlane-plugin-telegram-proxy: Publié le 30 mai 2025, a 287 téléchargements
- fastlane-plugin-proxy_telegram: Publié le 24 mai 2025, a 133 téléchargements
Voie rapide vers le vol de données
Fastlane est un plugin open source légitime qui sert d’outil d’automatisation pour les développeurs d’applications mobiles. Il est utilisé pour la signature de code, la compilation de builds, le téléchargement sur l’App Store, la livraison de notifications et la gestion des métadonnées.
Le ‘fastlane-plugin-telegram’ est un plugin légitime qui permet à Fast lane d’envoyer des notifications via Telegram à l’aide d’un bot Telegram qui publie sur un canal spécifié.
Ceci est utile pour les développeurs qui ont besoin de mises à jour en temps réel sur les pipelines CI/CD dans leur espace de travail Telegram, leur permettant de suivre les événements clés sans avoir à consulter les tableaux de bord.
Les gemmes malveillantes découvertes par Socket sont presque identiques au plugin légitime, avec la même API publique, le même fichier lisez-moi, la même documentation et les mêmes fonctionnalités de base.
La seule différence, bien que cruciale, est l’échange du point de terminaison légitime de l’API Telegram (https://api.telegram.org/) avec le point de terminaison contrôlé par proxy de l’attaquant (rough-breeze-0c37[.] buidanhnam95[.] travailleurs[.] dev), de sorte que les informations sensibles sont interceptées (et très probablement collectées).
Les données volées incluent le jeton du bot, les données du message, tous les fichiers téléchargés et les informations d’identification du proxy, le cas échéant.
L’attaquant a amplement l’occasion d’exploiter et de persister car les jetons de bot Telegram restent valides jusqu’à ce qu’ils soient révoqués manuellement par la victime.
Socket note que les pages de destination des gemmes mentionnent que le proxy « ne stocke ni ne modifie vos jetons de bot », cependant, il n’y a aucun moyen de vérifier cette affirmation.
« Les scripts de travail Cloudflare ne sont pas visibles publiquement et l’auteur de la menace conserve la pleine capacité de consigner, d’inspecter ou de modifier toutes les données en transit », explique Socket.
« L’utilisation de ce proxy, combinée au typosquattage d’un plugin Fastlane de confiance, indique clairement l’intention d’exfiltrer des jetons et des données de message sous le couvert d’un comportement normal de CI. »
« De plus, l’auteur de la menace n’a pas publié le code source du Travailleur, laissant sa mise en œuvre entièrement opaque. »
Les développeurs qui ont installé les deux gemmes malveillantes doivent les supprimer immédiatement et reconstruire tous les binaires mobiles produits après la date d’installation. De plus, tous les jetons de bot utilisés avec Fastlane doivent être pivotés car ils ont été compromis.
Socket suggère également de bloquer le trafic vers’*.travailleurs[.] dev ‘ sauf si explicitement nécessaire.