Un solo carácter en el nombre — y tu bot de Telegram ya trabaja para los hackers

Dos paquetes maliciosos de RubyGems, que se hacen pasar por populares plugins de Fastlane, redirigen las solicitudes a la API de Telegram hacia servidores controlados por atacantes con el fin de interceptar y robar datos de los desarrolladores. El ataque afecta al proceso de integración y entrega continua (CI/CD), lo que lo hace especialmente peligroso para equipos de desarrollo móvil.

Fastlane es una plataforma de automatización de código abierto para desarrollo móvil, utilizada para compilar, firmar y publicar aplicaciones, además de enviar notificaciones y gestionar metadatos. Uno de los plugins destacados del ecosistema es «fastlane-plugin-telegram», que permite enviar alertas sobre el estado del pipeline a través de un bot de Telegram. Esta herramienta permite a los desarrolladores reaccionar rápidamente ante errores o cambios en el proceso de compilación sin necesidad de monitoreo manual.

Las versiones maliciosas, denominadas fastlane-plugin-telegram-proxy (publicado el 30 de mayo de 2025, 287 descargas) y fastlane-plugin-proxy_teleram (24 de mayo de 2025, 133 descargas), fueron detectadas por el equipo de Socket. Los paquetes apenas se diferenciaban del plugin original: mantenían la misma estructura, documentación y API pública. Sin embargo, la diferencia clave era la sustitución de la URL oficial de la API de Telegram (https://api.telegram.org/) por un proxy controlado por el atacante (rough-breeze-0c37[.]buidanhnam95[.]workers[.]dev).

Esta sustitución permite interceptar de forma imperceptible todo lo que se envía a través de Telegram: contenido de los mensajes, IDs de chat, archivos adjuntos, datos del proxy y —lo más importante— los tokens de los bots de Telegram. Estos tokens siguen siendo válidos hasta que se revoquen manualmente, lo que otorga al atacante control prolongado sobre los bots incluso después de desinstalar el plugin malicioso.

Los autores del ataque afirmaron en la descripción del paquete que su proxy supuestamente no almacena tokens ni mensajes. Sin embargo, esto no puede comprobarse, ya que los scripts de Cloudflare Workers utilizados en el ataque no son públicos. Como señalan los expertos de Socket, el atacante puede registrar, modificar o analizar libremente el tráfico que pasa por el proxy.

La aparición de estos paquetes falsos fue posible gracias a una técnica de typosquatting: los nombres maliciosos contienen pequeñas variaciones para parecerse al plugin original y aparecer en los resultados de búsqueda de Fastlane en RubyGems. Esto aumenta el riesgo de que los desarrolladores los instalen por error en lugar del paquete auténtico.

Los expertos recomiendan eliminar urgentemente ambos paquetes maliciosos si fueron instalados, y recompilar todos los binarios generados después. También es necesario reemplazar inmediatamente todos los tokens de bots de Telegram utilizados con Fastlane. Como medida de seguridad preventiva, se aconseja bloquear el acceso al dominio *.workers.dev, salvo que su uso sea estrictamente necesario.