Главная страница » Индикаторы компрометации
0
3 дня
Индикаторы компрометации

Злоумышленники используют вредоносные Ruby-пакеты для кражи токенов Telegram

security

Исследовательская группа Socket обнаружила целевую атаку на экосистему RubyGems, связанную с распространением вредоносных пакетов. Злоумышленник, действующий под псевдонимами Bùi nam, buidanhnam и si_mobile, опубликовал два вредоносных пакета - fastlane-plugin-telegram-proxy и fastlane-plugin-proxy_teleram, маскирующихся под легитимные плагины Fastlane. Эти пакеты перенаправляют трафик Telegram через сервер злоумышленника, перехватывая токены ботов, идентификаторы чатов, тексты сообщений и прикреплённые файлы.

Описание

Атака началась вскоре после решения властей Вьетнама заблокировать Telegram на территории страны 21 мая 2025 года. Вредоносные пакеты были представлены как "прокси-решения", что делало их привлекательными для разработчиков, ищущих обходные пути для работы с мессенджером. Поскольку Fastlane часто используется в CI/CD-процессах, связанных с развертыванием ПО, компрометация таких плагинов может привести к утечке критически важных данных, включая ключи подписи и секреты окружения.

Злоумышленник скопировал код популярного плагина fastlane-plugin-telegram, сохранив его функциональность, но заменив API-эндпоинт Telegram на контролируемый сервер. Вместо обращения к официальному API (api.telegram.org) пакеты отправляют данные на адрес rough-breeze-0c37.buidanhnam95.workers.dev, принадлежащий атакующему. Это изменение остаётся незаметным для пользователей, так как плагин продолжает работать корректно, но при этом все данные перехватываются.

Сервер злоумышленника заявлен как "безопасный прокси", но его исходный код скрыт, а значит, нет возможности проверить, действительно ли он не хранит перехваченные данные. Кроме того, пакеты используют техники типосквоттинга - их названия лишь незначительно отличаются от оригинального плагина, что увеличивает вероятность ошибочной установки.

Атака имеет явную связь с событиями во Вьетнаме: злоумышленник использует вьетнамское имя, а публикация пакетов совпала с периодом повышенного спроса на обход блокировки Telegram. Однако вредоносный код не ограничивает свою работу географически, что делает угрозу актуальной для разработчиков по всему миру.

На момент публикации оба пакета остаются доступными в RubyGems, но исследователи уже подали запрос на их удаление. Пользователям Fastlane рекомендуется проверить свои зависимости и убедиться, что они не используют скомпрометированные плагины.

Индикаторы компрометации

Domains

rough-breeze-0c37.buidanhnam95.workers.dev

URLs

  • https://github.com/buidanhnam/fastlane‑plugin‑telegram
  • https://rough‑breeze‑0c37.buidanhnam95.workers.dev
Комментарии: 0
Похожие записи
0
21 час
Индикаторы компрометации

Злоумышленники используют вредоносные npm-пакеты для кражи криптовалют с кошельков BSC и Ethereum

security
Команда Socket Threat Research Team обнаружила четыре вредоносных npm-пакета, предназначенных для кражи средств с кошельков пользователей блокчейнов Binance Smart Chain (BSC) и Ethereum.
0
8 дней
Индикаторы компрометации

Злоумышленники сливают конфиденциальные данные через 60 вредоносных npm-пакетов

security
Команда Socket Security обнаружила активную кампанию в экосистеме npm: три аккаунта (bbbb335656, sdsds656565, cdsfdfafd1232436437) опубликовали 60 пакетов, которые при установке тайно похищают конфиденциальные данные.