兩個惡意的RubyGems包偽裝成流行的Fastlane CI/CD插件，將Telegram API請求重定向到攻擊者控制的服務器，以攔截和竊取數據。

RubyGems是Ruby編程語言的官方包管理器，用于分發、安裝和管理Ruby庫（gems），類似于JavaScript的npm和Python的PyPI。

這些軟件包攔截敏感數據，包括聊天id和消息內容、附加文件、代理憑證，甚至可用于劫持Telegram機器人的bot令牌。

供應鏈攻擊是由Socket研究人員發現的，他們通過一份報告警告了Ruby開發者社區這一風險。

這兩個包在RubyGems上仍然存在，它們的名字如下：

·fastlane-plugin-telegram-proxy：發布于2025年5月30日，有287次下載

·fastlane-plugin-proxy_teleram：發布于2025年5月24日，有133次下載

竊取數據的捷徑

Fastlane是一個合法的開源插件，可以作為移動應用開發者的自動化工具。它用于代碼簽名、編譯構建、應用商店上傳、通知傳遞和元數據管理。

“Fastlane -plugin- Telegram”是一個合法的插件，允許Fastlane通過Telegram發送通知，使用在指定頻道上發布的Telegram bot。

這對需要實時更新Telegram工作空間中的CI/CD管道的開發人員很有幫助，允許他們跟蹤關鍵事件而不必檢查儀表板。

在RubyGems上搜索Fastlane時出現惡意信息

Socket發現的惡意gem幾乎與合法插件相同，具有相同的公共API、自述文件、文檔和核心功能。唯一的區別（盡管是至關重要的區別）是將合法的Telegram API端點（https://api.telegram.org/）與攻擊者的代理控制端點（粗糙微風-0c37[.]buidanhnam95[.]workers[.]dev）交換，以便截獲（并且很可能收集）敏感信息。

來自項目描述

被盜數據包括bot令牌、消息數據、任何上傳的文件以及配置好的代理憑證。攻擊者有充分的機會進行利用和持久化，因為Telegram bot令牌在受害者手動撤銷之前一直有效。

Socket注意到gems的登陸頁面提到代理“不會存儲或修改您的bot令牌”，然而，沒有辦法驗證這一說法。Socket解釋說：“Cloudflare Worker腳本是不公開可見的，威脅者保留了記錄、檢查或修改傳輸中的任何數據的全部能力。”

使用這個代理，再加上受信任的Fastlane插件的typposquatting，清楚地表明了在正常CI行為的幌子下竊取令牌和消息數據的意圖。此外，威脅者沒有公布Worker的源代碼，使其實現完全不透明。

安全研究人員建議安裝了這兩個惡意gem的開發人員應該立即刪除它們，并重新構建安裝日期之后生成的任何移動二進制文件。此外，所有與Fastlane一起使用的bot令牌都應該被旋轉，因為它們已被破壞。

參考及來源：https://www.bleepingcomputer.com/news/security/malicious-rubygems-pose-as-fastlane-to-steal-telegram-api-data/