Atacuri cu pachete false Ruby compromit componenta Ruby pentru Telegram

Cercetătorii în securitate din echipa Socket Security Threat Research au descoperit două pachete RubyGems care par a fi extensii legitime pentru platforma Fastlane, dar sunt în fapt malitioase. Potrivit lor, aceste pachete se numesc "fastlane-plugin-telegram-proxy" și "fastlane-plugin-proxy_teleram". Acestea modifică discret endpoint-ul către care sunt trimise cererile către API-ul Telegram, redirecționând datele către servere controlate de hackeri.

Conform unui expert, Kirill Boychenko, aceste atacuri sunt foarte periculoase și pot avea consecințe grave. Potrivit sursei monitorulneamt.ro, printre datele interceptate se numără ID-uri de chat, mesaje, fișiere atașate, credentiale de proxy și token-uri de bot Telegram. Aceste informații pot fi folosite ulterior pentru a compromite conturile și comunicațiile automate din platforma Telegram.

Citează analiza că, deși aceste pachete par a fi extensii oficiale pentru Fastlane, acestea urmăresc scopuri malițioase, iar distribuția lor wide-face posibilitatea ca oricine să fie afectat. Potrivit cercetătorului, atacul a fost probabil motivat geopolitic, el fiind observat la scurt timp după ce Vietnamul a blocat accesul la Telegram. Noteaza însă că natura open-source și distribuția pe RubyGems transformă acest atac într-o amenințare globală.

Autorii recomandă organizațiilor afectate să elimine aceste pachete malitioase, să recompileze aplicațiile compromise și să roteze toate token-urile Telegram utilizate. Experții subliniază, de asemenea, importanța implementării unor programe de securitate robuste pentru API-uri, pentru a preveni astfel de atacuri în lanțul de aprovizionare software.