Один символ в названии — и Telegram-бот теперь работает на хакеров

Два вредоносных пакета RubyGems, маскирующиеся под популярные Fastlane-плагины, перенаправляют запросы к Telegram API на серверы злоумышленников, чтобы перехватывать и похищать данные разработчиков. Атака затронула процесс непрерывной интеграции и доставки (CI/CD), что делает её особенно опасной для мобильных команд.

Fastlane — это открытая платформа автоматизации для мобильной разработки, используемая для сборки, подписи и публикации приложений, а также для отправки уведомлений и управления метаданными. Среди плагинов экосистемы выделяется «fastlane-plugin-telegram», который позволяет отправлять оповещения о статусе пайплайна через Telegram-бота. Этот инструмент помогает разработчикам быстро реагировать на ошибки или изменения в процессе сборки, не отвлекаясь на ручной мониторинг.

Вредоносные версии, названные fastlane-plugin-telegram-proxy (опубликован 30 мая 2025 года, 287 загрузок ) и fastlane-plugin-proxy_teleram (24 мая 2025 года, 133 загрузки ), были замечены командой Socket. Пакеты почти не отличались от оригинального плагина — в них была сохранена та же структура, документация и публичный API. Однако ключевое отличие заключалось в подмене официального адреса Telegram API (https://api.telegram.org/) на прокси, контролируемый атакующим (rough-breeze-0c37[.]buidanhnam95[.]workers[.]dev).

Эта подмена позволяет незаметно перехватывать всё, что отправляется через Telegram: содержимое сообщений, ID чатов, прикреплённые файлы, данные прокси и — что особенно важно — токены Telegram-ботов. Эти токены действуют до тех пор, пока не будут вручную отозваны, что даёт злоумышленнику возможность сохранять контроль над ботами в течение длительного времени, даже после завершения установки вредоносного плагина.

Авторы атаки указали в описании пакета, что их прокси якобы не сохраняет токены или сообщения. Однако проверка такого утверждения невозможна, поскольку скрипты Cloudflare Workers, использованные в атаке, скрыты от публики. Как подчёркивают специалисты Socket, злоумышленник может свободно логировать, изменять или анализировать проходящий через прокси трафик.

Появление этих подделок стало возможным из-за опечаточного сквоттинга: названия вредоносных пакетов созданы с мелкими изменениями, чтобы напоминать оригинальный плагин, и появляются при поиске Fastlane в RubyGems. Это создаёт риск того, что разработчики по ошибке установят вредоносный код вместо подлинного плагина.

Специалисты рекомендуют срочно удалить оба вредоносных пакета, если они были установлены, и пересобрать все бинарные файлы, созданные после установки. Также необходимо немедленно заменить все Telegram-бот токены, использовавшиеся с Fastlane. В целях превентивной безопасности стоит блокировать доступ к домену *.workers.dev, если его использование не является строго необходимым.