Avis aux développeurs pressés : si vous avez installé un plugin RubyGems récemment sans lire les trois premières lignes de code, félicitations. Vous venez peut-être d’envoyer vos données Telegram en Russie. Ou pire, dans un dossier Dropbox nommé « butin-du-jour ».
Bienvenue dans le monde merveilleux de l’usurpation de package dans les dépôts open source, où des petits malins se font passer pour vos outils préférés — ici Fastlane — pour vous la faire à l’envers avec une précision chirurgicale.
🧨 RubyGems, ce nid douillet pour escrocs numériques
Le dernier épisode de la série “Les Gemmes de la honte” . Deux packages Ruby malveillants, joliment déguisés en plugins Fastlane, ont été publiés sur RubyGems.
Leur objectif ? Détourner des appels à l’API Telegram et rediriger les données sensibles vers des serveurs contrôlés par les attaquants.
Tu pensais automatiser ton CI/CD ? Tu automatisais surtout le vol de données, champion.
📦 Petit nom innocent, grande arnaque
Les packages s’appelaient :
fastlane-plugin-telegram(classique)fastlane-plugin-telegram_api(un poil plus appuyé)
Et comme souvent dans ce genre d’escroquerie, tout semble normal au premier abord :
- Documentation bien présentée,
- Dépendances crédibles,
- Code copié des vrais packages.
Mais sous le capot ? Une redirection sournoise de l’API Telegram vers une URL pirate, et hop ! Tes messages, tokens, et autres secrets finissent dans un .log bien juteux.
🤖 Ingénierie sociale pour devs fatigués
Le vrai génie ici, c’est que les attaquants misent sur la flemme et la confiance aveugle :
« Oh tiens, un plugin qui a l’air de faire ce que je veux. Je
gem installet je continue mon build. »
Pas de vérification d’auteur. Pas de contrôle de signature. Pas de vérification de repo GitHub.
Juste une belle illustration du modèle de menace 2025 : l’open source sans vérification, c’est du phishing avec un badge ‘projet communautaire’.
🛑 Impacts potentiels : bien plus que du spam
Parce que oui, si tu balances ton token Telegram à un inconnu, ce n’est pas juste un risque de messages chelous dans ton canal devops.
Cela peut aussi :
- Permettre de supprimer ou modifier des messages critiques dans tes bots Telegram,
- Donner un accès détourné à des systèmes CI/CD interfacés,
- Exposer indirectement des secrets d’authentification ou variables d’environnement.
Et surtout, cela prouve qu’un simple package peut être la porte d’entrée vers une supply chain compromise, sans jamais avoir à attaquer ton infra directement.
🔒 Leçon (pas) nouvelle : faites vos courses open source avec des gants
Ce genre d’attaque n’est pas nouveau. On l’a déjà vu sur :
- PyPI (Python)
- npm (Node.js)
- Cargo (Rust)
- Composer (PHP)
- Et maintenant RubyGems (encore, encore, et encore)
Mais tant que les devs continueront d’installer des packages au feeling comme on clique sur “J’accepte les cookies”, on aura des histoires comme celle-ci à raconter.
🎯 En résumé
💎 Deux faux plugins Fastlane sur RubyGems
📡 Redirigent les appels API Telegram
🎣 Exploitent la naïveté ou la fatigue des devs
🔐 Résultat : exfiltration silencieuse de données, impact potentiellement massif
Encore une belle preuve que dans la cybersécurité, ce n’est pas l’outil qui est dangereux, c’est ce qu’on installe sans lire.
