루비 프로그래밍 언어의 공식 패키지 매니저인 RubyGems에서 인기 있는 Fastlane CI/CD 플러그인을 가장한 두 개의 악성 패키지가 발견되었습니다. 이 패키지들은 텔레그램 API 요청을 공격자가 제어하는 서버로 리디렉션하여 데이터를 가로채고 훔칩니다. 이 패키지들은 채팅 ID, 메시지 내용, 첨부 파일, 프록시 자격 증명, 심지어는 텔레그램 봇을 해킹하는 데 사용할 수 있는 봇 토큰 등 민감한 데이터를 가로챕니다.
이 공급망 공격은 Socket 연구원들에 의해 발견되었으며, 이들은 보고서를 통해 루비 개발자 커뮤니티에 위험을 경고하였습니다. Fastlane을 가장한 두 패키지는 fastlane-plugin-telegram-proxy와 fastlane-plugin-proxy_teleram의 이름으로 RubyGems에서 여전히 활성화되어 있습니다.
Fastlane은 합법적인 오픈 소스 플러그인으로, 모바일 앱 개발자들을 위한 자동화 도구로 사용됩니다. 코드 서명, 빌드 컴파일, 앱 스토어 업로드, 알림 전달, 메타데이터 관리 등에 사용됩니다. 'fastlane-plugin-telegram'은 Fastlane이 텔레그램 봇을 사용하여 지정된 채널에 알림을 보내게 하는 합법적인 플러그인입니다. 이는 개발자들이 텔레그램 작업 공간 내의 CI/CD 파이프라인에 대한 실시간 업데이트를 필요로 하는 경우에 유용합니다.
Socket에 의해 발견된 악성 젬들은 합법적인 플러그인과 거의 동일하며, 동일한 공개 API, readme 파일, 문서, 핵심 기능을 갖추고 있습니다. 중요한 차이점은 합법적인 텔레그램 API 엔드포인트(https://api.telegram[.]org/)를) 공격자의 프록시 제어 엔드포인트로 교체하여 민감한 정보가 가로채지고 수집되는 것입니다.
요약
- 루비 프로그래밍 언어의 공식 패키지 매니저인 RubyGems에서 Fastlane CI/CD 플러그인을 가장한 두 개의 악성 패키지가 발견되었다.
- 이 패키지들은 텔레그램 API 요청을 공격자가 제어하는 서버로 리디렉션하여 데이터를 가로채고 훔친다.
- 이 공급망 공격은 Socket 연구원들에 의해 발견되었으며, 이들은 보고서를 통해 루비 개발자 커뮤니티에 위험을 경고하였다.
- Fastlane은 합법적인 오픈 소스 플러그인으로, 모바일 앱 개발자들을 위한 자동화 도구로 사용된다.
- Socket에 의해 발견된 악성 젬들은 합법적인 플러그인과 거의 동일하며, 중요한 차이점은 합법적인 텔레그램 API 엔드포인트를 공격자의 프록시 제어 엔드포인트로 교체하여 민감한 정보가 가로채지고 수집되는 것이다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.