出典: Pitor Adamowicz via Alamy Stock Photo
攻撃者は、Rubyプログラミング言語の人気のあるコードパッケージを利用して、Telegramチャットから機密データを盗むことを目的としたサプライチェーン攻撃を行っています。この攻撃は、脅威アクターが安全と見なされているAPI通信を悪意のある目的でハイジャックできることを示しています。
Socket Security Threat Research Teamは、モバイルアプリケーションのための人気のあるオープンソースの迅速開発プラットフォームであるFastlaneの人気プラグインを装った2つの悪意のあるRubyGems、またはRubyパッケージを発見しました。偽装されたジェムは、Telegram APIリクエストを攻撃者が制御するサーバーにリダイレクトし、チャットIDやメッセージ内容、添付ファイル、プロキシ認証情報、さらにはTelegramボットをハイジャックするために使用できるボットトークンなどの機密データを傍受し盗むと、ブログ投稿に6月3日に公開されました。
「これらのジェムは、脅威アクターが制御するコマンド&コントロール(C2)サーバーを通じてトラフィックをリダイレクトすることで、Telegram APIに送信されたすべてのデータを静かに流出させます」と、Socket Securityの脅威インテリジェンスアナリストであるKirill Boychenkoは投稿に書いています。
脅威アクターは、Bùi nam、buidanhnam、si_mobileなどの複数の別名を使用して、Fastlaneプラグインを装ったパッケージを「fastlane-plugin-telegram-proxy」や「fastlane-plugin-proxy_teleram」という名前でRubyGemsプロジェクトサイトに公開しています。これらのプラグインは、60万回以上ダウンロードされた正当なプラグイン「fastlane-plugin-telegram」を模倣しています。
関連:Trickbot、Contiランサムウェアオペレーターが大規模な運用漏洩で明らかに
地理的ターゲティング、グローバルな影響
このキャンペーンは地政学的に関連しているようで、ベトナムの情報通信省が5月21日に国内でTelegramへのアクセスをブロックするようインターネットサービスプロバイダーに命じた直後に、悪意のあるジェムがRubyGems開発者サイトに現れました。さらに、Boychenkoは「Bùi nam」という名前がベトナム形式の名前であることを指摘しました。
悪意のあるプラグインは、それぞれ5月24日と5月30日に登場し、「プロキシ」ヘルパーとしてTelegramブランドのために「Telegram回避策」の需要増加を利用しています。「ブランドとタイミングは、禁止によって影響を受けた開発者が意図されたターゲットであることを示しています」とBoychenkoは投稿に書いています。
同時に、マルウェアは地域特有ではなく、ジオフェンシング、ロケールチェック、またはその実行をベトナムのシステムに限定する条件付きロジックを含んでおらず、ジェムがインストールされた環境からTelegramトークンやデータを無差別に流出させます。
「これはより広範な意図を示しています:キャンペーンは広範なネットを張り、悪意のあるジェムを知らずに統合した開発者や組織に影響を与えます」とBoychenkoは書いています。「誘引はベトナムに合わせられていますが、影響はグローバルです。」
関連:ConnectWiseが侵害され、ScreenConnectの顧客が標的に
執筆時点で、悪意のあるプラグインはまだRubyGemsサイトにあり、Socketチームはそれらを削除するよう求めています。
サプライチェーン侵入の強い可能性
世界には30万人以上のプロのRubyプログラマーが存在し、少なくとも100万人の開発者が何らかの形でこの言語を使用していると、毎年開発者エコシステムレポートを発表しているJetbrainsによれば言われています。この言語は最も広く使われているわけではありませんが、特にWeb開発において長年にわたり一貫して使用されてきました。
2014年にソフトウェア開発者Felix Krauseによって作成されたFastlaneは、その使いやすさから特にAndroidモバイルアプリの開発において開発者に支持されています。そして、それが「署名キー、リリースバイナリ、環境シークレットのような機密資産を扱うCI/CDパイプライン内で動作するため、影響はソフトウェアビルドやリリースワークフローに深く及びます」とBoychenkoは書いています。
悪意のあるジェムは、CI/CDパイプラインからTelegramチャンネルにデプロイ通知を送信するために広く使用されている正当なfastlane-plugin-telegramプロジェクトのほぼ同一のクローンとして動作します。
「唯一変更された重要な行は、Telegramメッセージを送受信するために使用されるネットワークエンドポイントです」とBoychenkoは書いています。その重要な変更は、すべてのTelegram API呼び出しを脅威アクターのリレーを通じてリダイレクトし、プラグインはTelegramからの有効な応答を返し続けるため、動作の検出が困難です。
関連:「Everest Group」がSAPのHRツールを通じてグローバル組織を脅迫
「一方で、リレーはボットトークン、チャットID、メッセージテキスト、および添付ファイルを静かに流出させます」と彼は説明しました。「エンドポイントの置き換えが唯一の悪意のあるロジックです。」したがって、静的解析ツールや単体テストは変更をフラグしないかもしれないと彼は付け加えました。
悪意のあるキャンペーンの範囲は現在Telegramに限定されていますが、この活動はAPIセキュリティとソフトウェアサプライチェーンの信頼に関するより広範な問題を浮き彫りにしていると、CequenceのCISOであるRandolph Barrはメールで述べています。
「これは、API通信がしばしば安全と見なされているが、攻撃者が侵害された依存関係を通じてうまく挿入されると傍受される可能性があることを示す明確な例です」と彼は言います。
パイプラインを保護するためにAPIを保護する
キャンペーンを緩和するために、影響を受けた組織は直ちに2つの悪意のあるジェムを環境から削除し、信頼された依存関係のバージョンをロックし、2025年5月30日以降に作成されたモバイルバイナリを再構築する必要があります。
「Fastlaneで以前に使用されたすべてのTelegramボットトークンは侵害されたと見なされ、回転させる必要があります」とBoychenkoは警告しました。
組織はまた、強力なAPIセキュリティプログラムを実装してソフトウェアパイプラインを保護することを検討するべきであるとBarrはアドバイスしています。これは、文書化されたものだけでなく、実際に本番、ステージング、さらには開発環境で動作しているものを把握することを意味します。
「これは、シャドウAPIを発見するための定期的なスキャン、承認されていない統合、および古い依存関係と組み合わせる必要があります」と彼は言います。「そこから、エンドポイントの検証、APIの動作監視、トークンガバナンス(回転、スコープ制限など)のような制御が、機密のやり取りを保護するために重要です。」