Paket Berbahaya Terdeteksi Menyamar sebagai Plugin Fastlane di RubyGems
Peneliti keamanan siber telah mengidentifikasi dua paket berbahaya yang diunggah ke RubyGems.org, sebuah repositori paket populer untuk bahasa pemrograman Ruby. Paket-paket ini dirancang untuk menipu pengembang agar menginstalnya dengan menyamar sebagai plugin untuk Fastlane, sebuah platform sumber terbuka yang digunakan untuk mengotomatiskan pembangunan dan rilis aplikasi iOS dan Android. Nama paket yang terdeteksi adalah fastlane-plugin-tencentcloud dan fastlane-plugin-apptoapp.
Modus Operandi Typosquatting
Paket-paket jahat ini memanfaatkan teknik yang dikenal sebagai typosquatting, di mana mereka menggunakan nama yang sangat mirip atau sedikit salah eja dari paket sah yang sudah ada. Dalam kasus ini, mereka menargetkan ekosistem Fastlane. Pengembang yang tidak teliti atau salah ketik saat mencari plugin Fastlane yang sah berisiko menginstal paket palsu ini alih-alih yang asli.
Pencurian Data API Telegram
Tujuan utama dari paket-paket berbahaya ini adalah untuk mencuri informasi sensitif. Setelah berhasil diinstal, kode berbahaya yang terkandung di dalamnya akan berjalan. Kode ini secara khusus menargetkan variabel lingkungan pada sistem yang terinfeksi. Variabel lingkungan yang dicari adalah yang terkait dengan API Telegram, termasuk namun tidak terbatas pada TELEGRAMBOTTOKEN, TELEGRAMCHATID, TELEGRAMAPIID, dan TELEGRAMAPIHASH. Data API ini sangat berharga karena dapat digunakan untuk berinteraksi dengan bot Telegram atau mengakses akun secara terprogram.
Eksfiltrasi Data ke Discord Webhook
Setelah variabel lingkungan yang berisi kredensial Telegram berhasil dikumpulkan, paket berbahaya tersebut tidak menyimpannya secara lokal. Sebaliknya, mereka mengirimkan data yang dicuri ke webhook Discord. Webhook adalah URL khusus yang memungkinkan data dikirimkan ke saluran Discord tertentu. Metode ini memungkinkan pelaku kejahatan untuk dengan mudah mengumpulkan data yang dicuri dari banyak korban di satu lokasi.
Tindakan Pengguna dan Penghapusan Paket
Segera setelah ditemukan, RubyGems.org mengambil tindakan cepat untuk menghapus paket berbahaya fastlane-plugin-tencentcloud dan fastlane-plugin-apptoapp dari repositori mereka. Namun, pengguna yang mungkin telah menginstal paket-paket ini sebelumnya masih berisiko. Pengembang disarankan untuk segera memeriksa apakah mereka telah menginstal salah satu paket ini. Jika ditemukan, sangat penting untuk segera menghapus instalasi paket tersebut. Langkah mitigasi yang paling penting selanjutnya adalah mengganti semua kredensial API Telegram yang mungkin telah terekspos. Selain itu, disarankan untuk melakukan penyelidikan sistem untuk memastikan tidak ada kode berbahaya lain yang tertinggal atau dampak lain dari infeksi tersebut.
Sumber: https://www.bleepingcomputer.com/news/security/malicious-rubygems-pose-as-fastlane-to-steal-telegram-api-data/