แพ็กเกจ RubyGems ที่เป็นอันตราย 2 รายการ ซึ่งปลอมเป็นปลั๊กอินของ Fastlane CI/CD ยอดนิยม จะเปลี่ยนเส้นทาง API request ของ Telegram ไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม เพื่อดักจับ และขโมยข้อมูล
RubyGems เป็นระบบจัดการแพ็กเกจอย่างเป็นทางการของภาษาการเขียนโปรแกรม Ruby ถูกใช้เพื่อแจกจ่าย, ติดตั้ง และจัดการไลบรารี Ruby (gems) คล้ายกับ npm สำหรับ JavaScript และ PyPI สำหรับ Python
แพ็กเกจเหล่านี้แอบดักจับข้อมูลสำคัญจาก Telegram รวมถึงแชท ID และเนื้อหาข้อความ, ไฟล์ที่แนบมากับข้อความ, ข้อมูล credentials ของพร็อกซี และแม้แต่ bot tokens ที่สามารถใช้ในการแฮ็กบอทของ Telegram ได้
การโจมตีแบบ Supply Chain attack ลักษณะดังกล่าว ถูกพบโดยนักวิจัยจาก Socket ซึ่งได้แจ้งเตือนกลุ่มนักพัฒนา Ruby ถึงความเสี่ยงผ่านรายงาน
แพ็กเกจอันตรายทั้งสองที่ตั้งชื่อเลียนแบบ Fastlane ยังคงทำงานอยู่บน RubyGems ภายใต้ชื่อต่อไปนี้:
- fastlane-plugin-telegram-proxy – เผยแพร่เมื่อวันที่ 30 พฤษภาคม 2025 มียอดดาวน์โหลด 287 ครั้ง
- fastlane-plugin-proxy_teleram – เผยแพร่เมื่อวันที่ 24 พฤษภาคม 2025 มียอดดาวน์โหลด 133 ครั้ง
ทางลัดสู่การขโมยข้อมูล
Fastlane เป็นปลั๊กอินโอเพ่นซอร์สที่ถูกต้อง ซึ่งใช้เป็นเครื่องมืออัตโนมัติสำหรับนักพัฒนาแอปมือถือ ใช้สำหรับทำ code signing, การคอมไพล์แอป, การอัปโหลดขึ้น App Store, การส่งการแจ้งเตือน และการจัดการ Metadata
fastlane-plugin-telegram เป็นปลั๊กอินที่ถูกต้อง ซึ่งอนุญาตให้ Fastlane สามารถส่งการแจ้งเตือนผ่าน Telegram โดยใช้ Telegram Bot โพสต์ข้อความไปยังช่องที่กำหนดไว้
สิ่งนี้มีประโยชน์สำหรับนักพัฒนาที่ต้องการอัปเดตแบบเรียลไทม์บน CI/CD ภายใน Telegram ช่วยให้สามารถติดตามเหตุการณ์สำคัญได้โดยไม่ต้องตรวจสอบแดชบอร์ด
แพ็กเกจอันตรายที่ Socket ค้นพบ มีลักษณะแทบจะเหมือนกับปลั๊กอินที่ถูกต้องทุกประการ โดยมี Public API, ไฟล์ README, เอกสารประกอบ และฟังก์ชันหลักที่เหมือนกัน
ความแตกต่างเพียงอย่างเดียว แต่เป็นจุดสำคัญอย่างยิ่งคือ การสลับ Telegram API endpoint ที่ถูกต้อง (https://api.telegram.org/) ไปยังปลายทางของผู้โจมตีที่ควบคุมผ่าน Proxy
(rough-breeze-0c37[.]buidanhnam95[.]workers[.]dev) เพื่อให้สามารถดักจับข้อมูลสำคัญได้ และมีแนวโน้มสูงว่าจะถูกเก็บรวบรวมไว้
ข้อมูลที่ถูกขโมย ได้แก่ bot token, เนื้อหาข้อความ, ไฟล์ที่อัปโหลด และข้อมูล credentials ของพร็อกซีหากมีการตั้งค่า
ผู้โจมตีมีโอกาสในการใช้ประโยชน์ และแฝงตัวในระบบได้ เนื่องจาก bot token ของ Telegram จะยังคงใช้งานได้จนกว่าผู้ใช้จะ revoked เอง
Socket ระบุว่า หน้า landing pages ของ Gems ระบุว่า พร็อกซี “จะไม่เก็บ หรือแก้ไข bot token ของคุณ” อย่างไรก็ตาม ไม่มีวิธีใดในการยืนยันคำกล่าวอ้างนี้ได้
“สคริปต์ของ Cloudflare Worker จะไม่ปรากฏต่อสาธารณะ และผู้โจมตีสามารถบันทึก ตรวจสอบ หรือแก้ไขข้อมูลใด ๆ ที่อยู่ระหว่างการส่งได้อย่างเต็มที่” Socket อธิบาย
“การใช้พร็อกซีร่วมกับการปลอมชื่อให้คล้ายปลั๊กอิน Fastlane ที่เชื่อถือได้ แสดงให้เห็นอย่างชัดเจนว่ามุ่งเน้นการขโมยโทเค็น และข้อมูลข้อความ โดยอำพรางให้ดูเหมือนเป็นพฤติกรรมปกติของกระบวนการ CI”
“ยิ่งไปกว่านั้น ผู้โจมตียังไม่ได้เปิดเผยซอร์สโค้ดของ Worker ทำให้การใช้งานนั้นไม่โปร่งใสเลย”
นักพัฒนาที่เคยติดตั้งไลบรารีสองตัวนี้ ควรลบออกทันที และสร้างไบนารีมือถือขึ้นใหม่หลังจากวันที่ติดตั้ง โดยเฉพาะไฟล์ที่สร้างหลังจากติดตั้งไลบรารีอันตรายนั้น เพราะอาจมีช่องโหว่ได้
นอกจากนี้ ควรเปลี่ยน bot token ทั้งหมดที่ใช้กับ Fastlane เพราะถือว่าถูกโจมตีแล้ว
Socket ยังแนะนำว่า ควรบล็อกการเข้าถึงโดเมนที่ลงท้ายด้วย *.workers[.]dev ทั้งหมด ยกเว้นกรณีที่จำเป็นต้องใช้งานจริง
ที่มา: bleepingcomputer
You must be logged in to post a comment.