### Descubiertos paquetes maliciosos en RubyGems que interceptan datos de Fastlane a través de Telegram

#### 1. Introducción

En una nueva campaña de suplantación de confianza en la cadena de suministro, dos paquetes maliciosos publicados en RubyGems se han hecho pasar por plugins populares de Fastlane, la conocida herramienta de integración y entrega continua (CI/CD) para aplicaciones móviles. Estos paquetes redirigen silenciosamente solicitudes legítimas a la API de Telegram hacia servidores controlados por atacantes, permitiendo la interceptación y robo de datos sensibles. El incidente pone de manifiesto la creciente sofisticación de los ciberataques contra entornos DevOps y la urgente necesidad de reforzar los controles en la gestión de dependencias.

#### 2. Contexto del Incidente

El ecosistema de RubyGems, que gestiona más de 170.000 paquetes para desarrolladores de Ruby, ha sido recurrentemente objeto de ataques de tipo *typosquatting* y *suplantación de paquetes*. Los atacantes identifican bibliotecas de alto uso, como los plugins de Fastlane, y publican clones con nombres similares o idénticos, a menudo con pequeñas modificaciones que pasan inadvertidas para los desarrolladores durante la instalación automática de dependencias. En este caso concreto, los paquetes maliciosos imitaban plugins de Fastlane que integran funcionalidades con la API de Telegram, un canal habitual para la notificación automatizada de CI/CD.

#### 3. Detalles Técnicos

Los dos paquetes identificados fueron publicados bajo los nombres `fastlane-plugin-telegram` y `fastlane-plugin-telegram_notify` (que difieren levemente de los nombres legítimos), y se diseñaron para interceptar la comunicación entre Fastlane y la API oficial de Telegram (`api.telegram.org`). En lugar de enviar las solicitudes directamente a Telegram, el código malicioso redirigía las llamadas a endpoints bajo control del atacante, utilizando dominios como `api.telegram-mirror[.]com` y `telegram-notify[.]xyz`.

##### Identificadores y vectores de ataque

– **CVE asignado**: En el momento de redactar este artículo, aún no se ha publicado un CVE específico, aunque la comunidad de seguridad ya ha solicitado su asignación.
– **Vectores de ataque**: *Supply chain poisoning* mediante typosquatting y dependencia transitoria en entornos CI/CD.
– **TTP (MITRE ATT&CK)**:
– T1195.002 (Supply Chain Compromise: Compromise Software Dependencies and Development Tools)
– T1071.001 (Application Layer Protocol: Web Protocols)
– **Indicadores de compromiso (IoC)**:
– Nombres de paquetes: `fastlane-plugin-telegram`, `fastlane-plugin-telegram_notify`
– Dominios: `api.telegram-mirror[.]com`, `telegram-notify[.]xyz`
– Hashes de versiones comprometidas disponibles en GitHub y foros de ciberseguridad.

##### Mecanismo de explotación

El código malicioso intercepta los parámetros (incluyendo tokens de bot y mensajes de notificación) destinados a la API de Telegram y los reenvía al servidor del atacante, permitiendo la captura de credenciales, mensajes internos y potencialmente otros datos transmitidos a través de las notificaciones automáticas. En algunos casos, los atacantes pueden modificar el payload para realizar ataques de phishing dirigidos o lanzar campañas de spear-phishing internas.

#### 4. Impacto y Riesgos

El impacto principal radica en la exposición de tokens de autenticación, mensajes privados y datos sensibles transmitidos por Fastlane a través de Telegram, lo que puede comprometer la seguridad de los pipelines CI/CD y la confidencialidad de los repositorios de código y sistemas de despliegue. Se estima que más de 1.500 descargas afectadas ocurrieron durante las primeras 48 horas, especialmente en proyectos de código abierto y startups tecnológicas.

El riesgo se agrava debido a la automatización inherente a los entornos CI/CD: la inclusión inadvertida de una dependencia maliciosa puede propagarse rápidamente por múltiples proyectos y entornos, permitiendo al atacante el acceso lateral a otras infraestructuras.

#### 5. Medidas de Mitigación y Recomendaciones

– **Verificación de integridad**: Utilizar herramientas de bloqueo de dependencias (`Gemfile.lock`, `Bundler Audit`) y firmar paquetes siempre que sea posible.
– **Auditoría de dependencias**: Revisar manualmente la lista de plugins y dependencias, priorizando aquellas que gestionan credenciales o canales de notificación.
– **Monitorización de IoC**: Bloquear y monitorizar el tráfico hacia los dominios identificados y alertar sobre la aparición de los nombres de paquetes maliciosos.
– **Actualización inmediata**: Eliminar y reemplazar cualquier instalación de los paquetes comprometidos, y rotar los tokens de Telegram afectados.
– **Formación interna**: Concienciar a los equipos de DevOps y desarrollo sobre las amenazas en la cadena de suministro y la importancia de la revisión de dependencias externas.

#### 6. Opinión de Expertos

Especialistas como Jake Williams (ex-NSA y fundador de Rendition Infosec) subrayan que «los ataques a la cadena de suministro seguirán en aumento mientras la industria dependa de ecosistemas de paquetes no auditados y sistemas de CI/CD automatizados». Señalan que la visibilidad sobre dependencias indirectas o transitorias sigue siendo un punto débil incluso en organizaciones maduras.

Por su parte, el equipo de Snyk destaca que solo un 25% de las empresas encuestadas disponen de procesos automatizados de revisión de dependencias, y advierte que el cumplimiento de directivas como la NIS2 y el RGPD puede verse comprometido ante incidentes de este tipo.

#### 7. Implicaciones para Empresas y Usuarios

Este incidente pone en evidencia la vulnerabilidad de la cadena de suministro de software y la facilidad con la que los atacantes pueden infiltrar código malicioso en proyectos críticos. Las empresas deben reforzar sus políticas de gobernanza de dependencias y mantener una monitorización activa de los paquetes instalados en entornos de producción y desarrollo.

El incumplimiento de normativas como el GDPR (en caso de filtración de datos personales) o la futura NIS2 (resiliencia de la cadena de suministro) puede derivar en sanciones económicas considerables y daños reputacionales.

#### 8. Conclusiones

La aparición de estos paquetes maliciosos en RubyGems refuerza la necesidad de una defensa en profundidad en la gestión de la cadena de suministro de software, especialmente en entornos CI/CD. La automatización y la confianza ciega en repositorios externos constituyen vectores de riesgo significativos que deben ser abordados mediante controles técnicos, formación y políticas de seguridad estrictas.

(Fuente: www.bleepingcomputer.com)