两个恶意的 RubyGems 包伪装成流行的 Fastlane CI/CD 插件，将 Telegram API 请求重定向到攻击者控制的服务器，以拦截和窃取数据。

RubyGems 是 Ruby 编程语言的官方包管理器，用于分发、安装和管理 Ruby 库（gems），类似于 JavaScript 的 npm 和 Python 的 PyPI。

这些软件包拦截敏感数据，包括聊天 id 和消息内容、附加文件、代理凭证，甚至可用于劫持 Telegram 机器人的 bot 令牌。

供应链攻击是由 Socket 研究人员发现的，他们通过一份报告警告了 Ruby 开发者社区这一风险。

这两个包在 RubyGems 上仍然存在，它们的名字如下：

·fastlane-plugin-telegram-proxy：发布于 2025 年 5 月 30 日，有 287 次下载

·fastlane-plugin-proxy_teleram：发布于 2025 年 5 月 24 日，有 133 次下载

窃取数据的捷径

Fastlane 是一个合法的开源插件，可以作为移动应用开发者的自动化工具。它用于代码签名、编译构建、应用商店上传、通知传递和元数据管理。

"Fastlane -plugin- Telegram" 是一个合法的插件，允许 Fastlane 通过 Telegram 发送通知，使用在指定频道上发布的 Telegram bot。

这对需要实时更新 Telegram 工作空间中的 CI/CD 管道的开发人员很有帮助，允许他们跟踪关键事件而不必检查仪表板。

在 RubyGems 上搜索 Fastlane 时出现恶意信息

Socket 发现的恶意 gem 几乎与合法插件相同，具有相同的公共 API、自述文件、文档和核心功能。唯一的区别（尽管是至关重要的区别）是将合法的 Telegram API 端点（https://api.telegram.org/）与攻击者的代理控制端点（粗糙微风 -0c37 [ . ] buidanhnam95 [ . ] workers [ . ] dev）交换，以便截获（并且很可能收集）敏感信息。

来自项目描述

被盗数据包括 bot 令牌、消息数据、任何上传的文件以及配置好的代理凭证。攻击者有充分的机会进行利用和持久化，因为 Telegram bot 令牌在受害者手动撤销之前一直有效。

Socket 注意到 gems 的登陆页面提到代理 " 不会存储或修改您的 bot 令牌 "，然而，没有办法验证这一说法。Socket 解释说："Cloudflare Worker 脚本是不公开可见的，威胁者保留了记录、检查或修改传输中的任何数据的全部能力。"

使用这个代理，再加上受信任的 Fastlane 插件的 typposquatting，清楚地表明了在正常 CI 行为的幌子下窃取令牌和消息数据的意图。此外，威胁者没有公布 Worker 的源代码，使其实现完全不透明。

安全研究人员建议安装了这两个恶意 gem 的开发人员应该立即删除它们，并重新构建安装日期之后生成的任何移动二进制文件。此外，所有与 Fastlane 一起使用的 bot 令牌都应该被旋转，因为它们已被破坏。