JONEAT ACTOR exploite Fastlane Plugin Trust vers Rediriger le trafic télégramme via le serveur C2 après l’interdiction du Vietnam, ciblant les pipelines mobiles de l’application CI / CD.
Une attaque en cours de chaîne d’approvisionnement vise l’écosystème Rubygems pour publier des packages malveillants destinés à voler des données de télégramme sensibles.
Publié par un acteur de menace utilisant plusieurs comptes sous Aliases Bùi Nam, Buidanhnam et SI_MOBILE, les Gems (Ruby Packages) malveillants (Ruby Packages) sont des plugins Fastlane légitimes et des données d’exfiltrat à un serveur de commande et de contrôle (C2) contrôlé par acteur. Fastlane est un outil d’ouverture populaire, largement utilisé dans les pipelines CI / CD, pour automatiser la construction, les tests et la libération d’applications mobiles (iOS et Android).
«Les acteurs malveillants profitent de la confiance inhérente dans les environnements open source en intégrant un code nuisible qui peut compromettre les systèmes, voler des informations sensibles ou, dans ce cas, mal orienter le trafic API critique», a déclaré Eric Schwake, directeur de la stratégie de cybersécurité chez Salt Security. «L’identification de certains joyaux Ruby visant à exfiltrant les jetons et les messages API télégrammes exfiltrant met en évidence un risque significatif et continu pour la chaîne d’approvisionnement des logiciels.»
L’attaque en cours a été repérée pour la première fois par l’équipe de recherche sur les menaces de Socket, qui a noté que les joyaux malveillants sont apparus quelques jours seulement après l’interdiction du télégramme national du Vietnam, susceptible d’exploiter la demande accrue de solutions de contournement télégramme avec des offres «proxy».
Deux plugins voyous en circulation
L’acteur de menace a publié deux joyaux malveillants: «Fastlane-Plugin-Telegram-Proxy» et «Fastlane-Plugin-Proxy_telegram», clones presque identiques du «Fastlane-Plugin-Telegram».
Bien que les packages conservent toutes les mêmes fonctionnalités et documentation du plugin légitime, ils ont ajouté une altération critique. Les Gems modifiés ont présenté une redirection pour tout le trafic API Telegram vers un C2 contrôlé par l’acteur.
« Ces gemmes exfiltrent silencieusement toutes les données envoyées à l’API Telegram (utilisée par le plugin Fastlane) en redirigeant le trafic via un serveur C2 contrôlé par l’acteur de menace », a déclaré le chercheur en sécurité Kirill Boychenko dans un article de blog. « Cela inclut les jetons de bot, les identifiants de chat, le contenu du message et les fichiers joints. »
Les acteurs de la menace ont modifié le comportement du plugin légitime de l’envoi de messages à Telegram à l’aide de l’API Télégram Bot en remplaçant le point de terminaison de l’API Telegram (https: /api.telegra.org) par leur propre serveur (C2).
« Un échange de ligne unique a réinstallé chaque appel de l’API télégramme via un travailleur CloudFlare sous le contrôle d’un attaquant, siphonnage des jetons, des fichiers, des pièces d’identité, etc. », a déclaré Jason Soroko, chercheur principal chez Sectigo.
Le risque peut s’étendre devant l’interdiction régionale
Les forfaits malveillants (GEMS) ont été publiés par l’acteur de menace le 24 mai 2025, trois jours après que le ministère du Vietnam de l’information et des communications a ordonné une interdiction nationale de télégramme et a donné aux prestataires de services Internet jusqu’au 2 juin pour signaler la conformité.
Outre le timing, les alias utilisés par l’acteur de menace ont également suggéré un thème vietnamien, ainsi que le crochet «proxy télégramme» utilisé pour commercialiser les gemmes. Bien que apparemment ciblé, l’attaque peut encore avoir des impacts en dehors de l’interdiction.
« L’opérateur, utilisant des alias de langue vietnamienne, a poussé les gemmes quelques jours après le télégramme interdit au Vietnam, mais le code n’a pas de géofence, donc tout pipeline rapide qui a tiré le plugin a été compromis », a expliqué Soroko.
Pour les cibles potentielles, Boychenko a recommandé de vérifier les proxys télégrammes – s’ils en recherchent un – en vérifiant l’octroi de licences open source, les détails des auteurs transparents, les points de terminaison configurables (non silencieux et les remplacements codés en dur) et les politiques de confidentialité et d’exploitation d’exploitation. Les dépendances de typosquat restent une technique populaire d’attaque en chaîne d’approvisionnement.
Récemment, les attaquants ont été trouvés en baissant plus de 60 packages NPM malveillants dans les deux semaines pour voler des informations sur le réseau, une découverte également rapportée par Boychenko. Les acteurs malveillants ont également commencé une nouvelle approche pour exploiter les hallucinations d’IA pour mener des attaques à trébat, en publiant des forfaits malveillants avec des noms que les outils d’IA pourraient incorrectement suggérer aux développeurs.
