随着数字通信工具在全球范围内的广泛应用,Telegram因其加密通讯和开放平台的特性,吸引了大量开发者和企业将其集成进自动化工作流。越南政府于2025年5月21日下令全国范围内封禁Telegram,试图遏制信息流传递的自由。这一封禁引发了开发者对绕过限制工具的强烈需求。在此背景下,威胁行为者迅速行动,通过发布恶意的Ruby Gems包,针对基于Fastlane的CI/CD自动化管道发动了极具隐蔽性的供应链攻击。Socket研究团队揭露了两款恶意Ruby Gems——fastlane-plugin-telegram-proxy和fastlane-plugin-proxy_teleram,它们伪装成官方Fastlane插件,但实则偷偷将所有通过Telegram API发送的数据,重定向至攻击者控制的命令与控制(C2)服务器。被窃取的数据包括Telegram机器人的访问令牌、聊天ID、消息内容和上传的文件,甚至开发者可能传入的代理凭证也未能幸免。
这次攻击的时机选择极为精准,几乎就在越南政府实施Telegram封禁后短短数日内释放恶意包。通过“proxy”这一概念的噱头,成功利用了开发者迫切寻求替代方案的心理。更为隐蔽的是,这些恶意包仅微调了原插件中调用API的网络端点,替换成了一条看似正常的C2代理路径。原插件调用Telegram官方API接口,而恶意插件则指向了隐藏于Cloudflare Worker环境中的代理服务器,表面上宣称不存储也不修改令牌,但实际上全部消息流均被悄然截获和转发。由于这些代码保持了原有的功能和接口,使得静态代码分析工具或单元测试难以识别异常,增添了检测难度。值得警惕的是,这些恶意插件没有任何地理或条件限制,只要被安装,就会无差别收集数据,不局限于越南用户。
换言之,虽然它们借助了越南封禁的热点做营销,但受害者范围遍及全球开发者和企业,任何引入这些插件的CI/CD环境都处于风险之中。Fastlane作为流行的自动化构建和发布工具,在持续集成流程中管理着诸如应用签名密钥、环境变量以及若干敏感资产,其被攻击将导致机密数据外泄,进而可能引发严重的产品安全事故。攻击方通过几乎无差别的伪装手法打入供应链,展示了现代软件生态中供应链攻击的威力与隐蔽性。此外,恶意插件运营者使用了带有越南本土符号的账号名(如Bùi nam、buidanhnam、si_mobile),并以极其相似的名称在RubyGems官方仓库上发布,利用名称微小差异(如将telegram拼写为teleram)达到混淆视听的效果,进一步降低受害者警惕。更令攻击方得以掩盖的是,他们从原GitHub仓库分叉污蔑版代码,且链接其恶意仓库地址作为首页,误导用户相信其为可信项目。合法的Telegram代理服务一般具备开源透明的代码库、可配置的代理选项、清晰的开发者身份信息、以及明确的隐私和日志策略。
而这两个恶意插件在设计上完全背离了这些原则,没有开放代码,也没有任何自托管或选用代理功能的自主权,单纯以硬编码方式植入恶意C2端点,显示出强烈的隐蔽盗窃意图。专家建议,面对这类供应链攻击,组织应立刻删除fastlane-plugin-telegram-proxy和fastlane-plugin-proxy_teleram两款恶意插件,锁定可信的依赖版本,对五月底之后构建的移动应用进行重新构建操作,并更换所有Fastlane集成使用过的Telegram机器人令牌。此外,应通过网络层面限制至Cloudflare Worker域名的出口连接,避免对恶意C2服务器的数据泄露。公共安全扫描工具如Socket GitHub应用、CLI工具和浏览器扩展能够协助开发者在依赖拉取和部署过程中检测潜在危险,识别拼写类似但恶意的插件。此次事件再次充分提醒我们,软件供应链安全不可忽视,开发环境的每个依赖都可能成为攻击入口。威胁行为者凭借对地缘政治动态的敏锐洞察,依托简单的代码修改即可得手,他们的手法预计将延伸至更多语言生态和包管理系统,如npm、PyPI、Go Modules等。
技术团队必须提高对供应链攻击的认知水平,完善依赖审计和访问控制,强化身份凭证管理和网络出口策略,才能有效保护核心业务资产不受侵害。总体来说,这场针对Fastlane插件生态的恶意Ruby Gems事件,以针对被动等待网络封禁下的开发者需求进行精准布局,表现了现代网络威胁利用社会和技术双重因素的复杂能力,亦成为软件安全领域亟需警觉和防范的典型案例。只有通过完善的供应链安全防护措施和持续的安全教育,才能减少类似事件对产业和用户带来的损害。
