Κακόβουλα RubyGems παρουσιάζονται ως Fastlane και κλέβουν δεδομένα Telegram API
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Κακόβουλα RubyGems παρουσιάζονται ως Fastlane και κλέβουν δεδομένα Telegram API
https://www.secnews.gr/650097/kakovoula-rubygems-parousiazontai-fastlane-klevoun-dedomena-telegram-api/
Jun 4th 2025, 11:41
by Absenta Mia
Δύο κακόβουλα πακέτα RubyGems που προσποιούνται ότι είναι δημοφιλή plugins του Fastlane CI/CD ανακατευθύνουν αιτήματα του Telegram API σε διακομιστές που ελέγχονται από τους επιτιθέμενους, με σκοπό την υποκλοπή και κλοπή δεδομένων.
Δείτε επίσης: Νέα συνεργασία xAI – Telegram: Το Grok ενσωματώνεται στο Telegram
Το RubyGems είναι ο επίσημος διαχειριστής πακέτων για τη γλώσσα προγραμματισμού Ruby και χρησιμοποιείται για τη διανομή, εγκατάσταση και διαχείριση βιβλιοθηκών Ruby (gems), παρόμοια με το npm για JavaScript και το PyPI για Python.
Τα κακόβουλα πακέτα υποκλέπτουν ευαίσθητα δεδομένα, όπως αναγνωριστικά συνομιλιών (chat IDs), περιεχόμενο μηνυμάτων, συνημμένα αρχεία, διαπιστευτήρια διαμεσολαβητών (proxy credentials) και ακόμα και tokens bots, τα οποία μπορούν να χρησιμοποιηθούν για την κατάληψη (hijacking) bots του Telegram. Η επίθεση στην εφοδιαστική αλυσίδα εντοπίστηκε από ερευνητές της Socket, οι οποίοι προειδοποίησαν την κοινότητα των προγραμματιστών Ruby μέσω σχετικής αναφοράς.
Τα δύο πακέτα που χρησιμοποιούν τεχνικές typosquatting για να μιμηθούν το Fastlane παραμένουν ενεργά στο RubyGems με τα εξής ονόματα:
• fastlane-plugin-telegram-proxy: Δημοσιεύθηκε στις 30 Μαΐου 2025 και έχει 287 λήψεις
• fastlane-plugin-proxy_teleram: Δημοσιεύθηκε στις 24 Μαΐου 2025 και έχει 133 λήψεις
Το Fastlane είναι ένα αξιόπιστο εργαλείο ανοιχτού κώδικα που λειτουργεί ως plugin και χρησιμοποιείται για την αυτοματοποίηση διαδικασιών από προγραμματιστές εφαρμογών για κινητά. Χρησιμεύει στη διαχείριση της υπογραφής κώδικα, τη δημιουργία builds, την αποστολή εφαρμογών στα app stores, την αποστολή ειδοποιήσεων και τη διαχείριση μεταδεδομένων.
Το fastlane-plugin-telegram είναι ένα νόμιμο plugin που επιτρέπει στο Fastlane να στέλνει ειδοποιήσεις μέσω Telegram, χρησιμοποιώντας ένα bot που δημοσιεύει σε καθορισμένο κανάλι. Αυτό είναι ιδιαίτερα χρήσιμο για προγραμματιστές που χρειάζονται ενημερώσεις σε πραγματικό χρόνο σχετικά με τις διαδικασίες CI/CD μέσα από το workspace του Telegram, ώστε να παρακολουθούν βασικά γεγονότα χωρίς να χρειάζεται να ελέγχουν πίνακες ελέγχου.
Δείτε ακόμα: Gremlin Stealer: Νέο info-stealer διαφημίζεται στο Telegram
Κακόβουλα RubyGems παρουσιάζονται ως Fastlane και κλέβουν δεδομένα API Telegram
Τα κακόβουλα gems που ανακαλύφθηκαν από τη Socket είναι σχεδόν πανομοιότυπα με το αυθεντικό plugin, διαθέτοντας την ίδια δημόσια API, το ίδιο αρχείο readme, τεκμηρίωση και βασική λειτουργικότητα. Η μοναδική – αλλά κρίσιμη – διαφορά είναι η αντικατάσταση του κανονικού endpoint του Telegram API (https://api.telegram.org/) με ένα endpoint που ελέγχεται από τους επιτιθέμενους μέσω proxy (rough-breeze-0c37[.]buidanhnam95[.]workers[.]dev), ώστε να υποκλέπτονται (και πολύ πιθανόν να συλλέγονται) ευαίσθητες πληροφορίες.
Τα δεδομένα που υποκλέπτονται περιλαμβάνουν το bot token, τα δεδομένα των μηνυμάτων, αρχεία που έχουν μεταφορτωθεί, καθώς και διαπιστευτήρια διαμεσολαβητών (proxy credentials), εφόσον έχουν ρυθμιστεί. Ο επιτιθέμενος διαθέτει σημαντικά περιθώρια για εκμετάλλευση και παραμονή στο σύστημα, καθώς τα Telegram bot tokens παραμένουν έγκυρα μέχρι να ανακληθούν χειροκίνητα από το θύμα.
Η Socket επισημαίνει ότι στις σελίδες των κακόβουλων gems αναφέρεται πως το proxy «δεν αποθηκεύει ούτε τροποποιεί τα bot tokens σας». Ωστόσο, δεν υπάρχει κανένας τρόπος να επιβεβαιωθεί αυτός ο ισχυρισμός.
Οι προγραμματιστές που έχουν εγκαταστήσει τα δύο κακόβουλα gems πρέπει να τα αφαιρέσουν άμεσα και να επαναδημιουργήσουν οποιαδήποτε mobile binaries έχουν παραχθεί μετά την ημερομηνία εγκατάστασης. Επιπλέον, όλα τα bot tokens που έχουν χρησιμοποιηθεί με το Fastlane πρέπει να ανανεωθούν, καθώς θεωρούνται πλέον παραβιασμένα από τα πακέτα RubyGems.
Η Socket προτείνει επίσης την αποκλειστική πρόσβαση σε τομείς τύπου '*.workers[.]dev', εκτός αν υπάρχει ρητή ανάγκη πρόσβασης.
Δείτε επίσης: Το Triton RAT αξιοποιεί το Telegram για απομακρυσμένη πρόσβαση
Ένα σχετικό και κρίσιμο σημείο που προκύπτει από τα παραπάνω είναι η σημαντικότητα της ασφάλειας στην αλυσίδα εφοδιασμού λογισμικού (software supply chain). Όταν βιβλιοθήκες ή plugins όπως αυτά του RubyGems παραβιάζονται ή κατασκευάζονται με κακόβουλο τρόπο (typosquatting, κακόβουλοι proxies, κλπ.), μπορούν να επηρεάσουν εκατοντάδες ή και χιλιάδες έργα, χωρίς οι τελικοί χρήστες να το αντιληφθούν άμεσα.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Κακόβουλα RubyGems παρουσιάζονται ως Fastlane και κλέβουν δεδομένα Telegram API
https://www.secnews.gr/650097/kakovoula-rubygems-parousiazontai-fastlane-klevoun-dedomena-telegram-api/
Jun 4th 2025, 11:41
by Absenta Mia
Δύο κακόβουλα πακέτα RubyGems που προσποιούνται ότι είναι δημοφιλή plugins του Fastlane CI/CD ανακατευθύνουν αιτήματα του Telegram API σε διακομιστές που ελέγχονται από τους επιτιθέμενους, με σκοπό την υποκλοπή και κλοπή δεδομένων.
Δείτε επίσης: Νέα συνεργασία xAI – Telegram: Το Grok ενσωματώνεται στο Telegram
Το RubyGems είναι ο επίσημος διαχειριστής πακέτων για τη γλώσσα προγραμματισμού Ruby και χρησιμοποιείται για τη διανομή, εγκατάσταση και διαχείριση βιβλιοθηκών Ruby (gems), παρόμοια με το npm για JavaScript και το PyPI για Python.
Τα κακόβουλα πακέτα υποκλέπτουν ευαίσθητα δεδομένα, όπως αναγνωριστικά συνομιλιών (chat IDs), περιεχόμενο μηνυμάτων, συνημμένα αρχεία, διαπιστευτήρια διαμεσολαβητών (proxy credentials) και ακόμα και tokens bots, τα οποία μπορούν να χρησιμοποιηθούν για την κατάληψη (hijacking) bots του Telegram. Η επίθεση στην εφοδιαστική αλυσίδα εντοπίστηκε από ερευνητές της Socket, οι οποίοι προειδοποίησαν την κοινότητα των προγραμματιστών Ruby μέσω σχετικής αναφοράς.
Τα δύο πακέτα που χρησιμοποιούν τεχνικές typosquatting για να μιμηθούν το Fastlane παραμένουν ενεργά στο RubyGems με τα εξής ονόματα:
• fastlane-plugin-telegram-proxy: Δημοσιεύθηκε στις 30 Μαΐου 2025 και έχει 287 λήψεις
• fastlane-plugin-proxy_teleram: Δημοσιεύθηκε στις 24 Μαΐου 2025 και έχει 133 λήψεις
Το Fastlane είναι ένα αξιόπιστο εργαλείο ανοιχτού κώδικα που λειτουργεί ως plugin και χρησιμοποιείται για την αυτοματοποίηση διαδικασιών από προγραμματιστές εφαρμογών για κινητά. Χρησιμεύει στη διαχείριση της υπογραφής κώδικα, τη δημιουργία builds, την αποστολή εφαρμογών στα app stores, την αποστολή ειδοποιήσεων και τη διαχείριση μεταδεδομένων.
Το fastlane-plugin-telegram είναι ένα νόμιμο plugin που επιτρέπει στο Fastlane να στέλνει ειδοποιήσεις μέσω Telegram, χρησιμοποιώντας ένα bot που δημοσιεύει σε καθορισμένο κανάλι. Αυτό είναι ιδιαίτερα χρήσιμο για προγραμματιστές που χρειάζονται ενημερώσεις σε πραγματικό χρόνο σχετικά με τις διαδικασίες CI/CD μέσα από το workspace του Telegram, ώστε να παρακολουθούν βασικά γεγονότα χωρίς να χρειάζεται να ελέγχουν πίνακες ελέγχου.
Δείτε ακόμα: Gremlin Stealer: Νέο info-stealer διαφημίζεται στο Telegram
Κακόβουλα RubyGems παρουσιάζονται ως Fastlane και κλέβουν δεδομένα API Telegram
Τα κακόβουλα gems που ανακαλύφθηκαν από τη Socket είναι σχεδόν πανομοιότυπα με το αυθεντικό plugin, διαθέτοντας την ίδια δημόσια API, το ίδιο αρχείο readme, τεκμηρίωση και βασική λειτουργικότητα. Η μοναδική – αλλά κρίσιμη – διαφορά είναι η αντικατάσταση του κανονικού endpoint του Telegram API (https://api.telegram.org/) με ένα endpoint που ελέγχεται από τους επιτιθέμενους μέσω proxy (rough-breeze-0c37[.]buidanhnam95[.]workers[.]dev), ώστε να υποκλέπτονται (και πολύ πιθανόν να συλλέγονται) ευαίσθητες πληροφορίες.
Τα δεδομένα που υποκλέπτονται περιλαμβάνουν το bot token, τα δεδομένα των μηνυμάτων, αρχεία που έχουν μεταφορτωθεί, καθώς και διαπιστευτήρια διαμεσολαβητών (proxy credentials), εφόσον έχουν ρυθμιστεί. Ο επιτιθέμενος διαθέτει σημαντικά περιθώρια για εκμετάλλευση και παραμονή στο σύστημα, καθώς τα Telegram bot tokens παραμένουν έγκυρα μέχρι να ανακληθούν χειροκίνητα από το θύμα.
Η Socket επισημαίνει ότι στις σελίδες των κακόβουλων gems αναφέρεται πως το proxy «δεν αποθηκεύει ούτε τροποποιεί τα bot tokens σας». Ωστόσο, δεν υπάρχει κανένας τρόπος να επιβεβαιωθεί αυτός ο ισχυρισμός.
Οι προγραμματιστές που έχουν εγκαταστήσει τα δύο κακόβουλα gems πρέπει να τα αφαιρέσουν άμεσα και να επαναδημιουργήσουν οποιαδήποτε mobile binaries έχουν παραχθεί μετά την ημερομηνία εγκατάστασης. Επιπλέον, όλα τα bot tokens που έχουν χρησιμοποιηθεί με το Fastlane πρέπει να ανανεωθούν, καθώς θεωρούνται πλέον παραβιασμένα από τα πακέτα RubyGems.
Η Socket προτείνει επίσης την αποκλειστική πρόσβαση σε τομείς τύπου '*.workers[.]dev', εκτός αν υπάρχει ρητή ανάγκη πρόσβασης.
Δείτε επίσης: Το Triton RAT αξιοποιεί το Telegram για απομακρυσμένη πρόσβαση
Ένα σχετικό και κρίσιμο σημείο που προκύπτει από τα παραπάνω είναι η σημαντικότητα της ασφάλειας στην αλυσίδα εφοδιασμού λογισμικού (software supply chain). Όταν βιβλιοθήκες ή plugins όπως αυτά του RubyGems παραβιάζονται ή κατασκευάζονται με κακόβουλο τρόπο (typosquatting, κακόβουλοι proxies, κλπ.), μπορούν να επηρεάσουν εκατοντάδες ή και χιλιάδες έργα, χωρίς οι τελικοί χρήστες να το αντιληφθούν άμεσα.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz