دو بسته مخرب RubyGems که خود را به عنوان افزونه‌های محبوب Fastlane CI/CD جا می‌زنند، درخواست‌های API تلگرام را به سرورهای تحت کنترل مهاجمان هدایت می‌کنند تا داده‌ها را رهگیری و سرقت کنند.

RubyGems مدیر بسته رسمی برای زبان برنامه‌نویسی Ruby است که برای توزیع، نصب و مدیریت کتابخانه‌های Ruby (gems) استفاده می‌شود، مشابه npm برای JavaScript و PyPI برای Python.

این بسته‌ها داده‌های حساس شامل شناسه‌های چت، محتوای پیام‌ها، فایل‌های پیوست، اعتبارنامه‌های پروکسی و حتی توکن‌های ربات را که می‌توانند برای ربودن ربات‌های تلگرام استفاده شوند، رهگیری می‌کنند.

این حمله زنجیره تأمین توسط محققان Socket کشف شد که جامعه توسعه‌دهندگان Ruby را از این خطر آگاه کردند. دو بسته‌ای که با نام‌های مشابه Fastlane منتشر شده‌اند، همچنان در RubyGems با نام‌های زیر فعال هستند:

fastlane-plugin-telegram-proxy: منتشر شده در 30 می 2025، با 287 دانلود
fastlane-plugin-proxy_teleram: منتشر شده در 24 می 2025، با 133 دانلود

مسیر سریع به سرقت داده

Fastlane یک افزونه متن‌باز مشروع است که به عنوان ابزار اتوماسیون برای توسعه‌دهندگان اپلیکیشن‌های موبایل عمل می‌کند. از آن برای امضای کد، کامپایل بیلدها، آپلود به فروشگاه اپلیکیشن، ارسال اعلان‌ها و مدیریت متادیتا استفاده می‌شود.

افزونه ‘fastlane-plugin-telegram’ یک افزونه مشروع است که به Fastlane اجازه می‌دهد اعلان‌ها را از طریق تلگرام با استفاده از یک ربات تلگرام که در کانال مشخصی پست می‌کند، ارسال کند. این برای توسعه‌دهندگانی که نیاز به به‌روزرسانی‌های بلادرنگ از خطوط لوله CI/CD در فضای کاری تلگرام خود دارند مفید است.

بسته‌های مخرب کشف شده توسط Socket تقریباً مشابه افزونه مشروع هستند و دارای همان API عمومی، فایل readme، مستندات و عملکرد اصلی می‌باشند. تنها تفاوت، هرچند بسیار مهم، جایگزینی نقطه پایانی API مشروع تلگرام (https://api.telegram.org/) با نقطه پایانی پروکسی تحت کنترل مهاجم است، به طوری که اطلاعات حساس رهگیری می‌شوند.

داده‌های سرقت شده شامل توکن ربات، داده‌های پیام، هر فایل آپلود شده و اعتبارنامه‌های پروکسی در صورت پیکربندی می‌باشند. مهاجم فرصت کافی برای سوءاستفاده و تداوم حمله دارد زیرا توکن‌های ربات تلگرام تا زمانی که به صورت دستی توسط قربانی لغو نشوند، معتبر باقی می‌مانند.

Socket اشاره می‌کند که صفحات فرود این بسته‌ها ذکر می‌کنند که پروکسی “توکن‌های ربات شما را ذخیره یا تغییر نمی‌دهد”، اما هیچ راهی برای تأیید این ادعا وجود ندارد.

Socket توضیح می‌دهد: “اسکریپت‌های Cloudflare Worker به صورت عمومی قابل مشاهده نیستند و مهاجم توانایی کامل برای ثبت، بازرسی یا تغییر هر داده‌ای در حال انتقال را دارد. استفاده از این پروکسی، همراه با نام‌گذاری مشابه یک افزونه قابل اعتماد Fastlane، به وضوح نشان‌دهنده قصد سرقت توکن‌ها و داده‌های پیام تحت پوشش رفتار عادی CI است.”

توسعه‌دهندگانی که دو بسته مخرب را نصب کرده‌اند باید فوراً آنها را حذف کنند و هر باینری موبایلی که پس از تاریخ نصب تولید شده را دوباره بسازند. همچنین، تمام توکن‌های ربات استفاده شده با Fastlane باید تغییر کنند زیرا به خطر افتاده‌اند. Socket همچنین پیشنهاد می‌کند ترافیک به ‘*.workers[.]dev’ را مسدود کنید مگر اینکه به صراحت مورد نیاز باشد.