[데일리시큐]악성 루비젬, 패스트레인 플러그인으로 위장해 텔레그램 API 데이터 탈취

뉴스 요약

두 개의 악성 RubyGems 패키지(fastlane-plugin-telegram-proxy, fastlane-plugin-proxy_teleram)가 Fastlane 플러그인으로 위장하여 텔레그램 API 데이터를 탈취하는 공격이 발견되었습니다. Socket 연구팀의 조사에 따르면, 이 패키지들은 모바일 앱 개발 자동화 도구인 Fastlane 사용자를 표적으로 삼았습니다.

핵심 포인트

• 악성 RubyGems 패키지가 Fastlane 플러그인으로 위장하여 배포됨.
• 텔레그램 API 데이터 탈취가 목표.
• 소프트웨어 공급망 공격의 한 유형.
• Socket 연구팀이 악성 패키지 발견 및 분석.

기술 세부 내용

1️⃣ RubyGems (루비젬스)

• RubyGems는 Ruby 프로그래밍 언어의 패키지 관리 시스템입니다. 젬(Gem)이라고 불리는 패키지를 통해 라이브러리나 애플리케이션을 쉽게 배포하고 설치할 수 있도록 지원합니다.
• 개발자들은 RubyGems를 통해 필요한 코드를 재사용하고, 의존성 관리를 효율적으로 처리할 수 있습니다.
• 이번 공격에서 악성 코드는 RubyGems 저장소에 정상적인 패키지처럼 업로드되어 배포되었습니다.

2️⃣ Fastlane (패스트레인)

• Fastlane은 iOS 및 Android 모바일 앱 개발 과정에서 반복적인 작업들을 자동화하는 오픈 소스 도구입니다.
• 스크린샷 생성, 코드 서명, 앱 스토어 배포 등 다양한 작업을 자동화하여 개발 생산성을 향상시킵니다.
• 플러그인 시스템을 통해 기능을 확장할 수 있으며, 이번 공격은 이 플러그인 시스템을 악용한 것입니다.

3️⃣ Fastlane 플러그인

• Fastlane의 기능을 확장하는 모듈입니다. 다양한 기능을 제공하는 플러그인을 통해 개발자는 Fastlane을 자신의 프로젝트에 맞게 커스터마이징할 수 있습니다.
• 이번 공격에서는 악성 코드가 Fastlane 플러그인으로 위장하여 사용자 시스템에 침투했습니다.

4️⃣ 텔레그램 API 데이터 탈취

• 공격자는 악성 Fastlane 플러그인을 통해 사용자의 텔레그램 API 데이터를 탈취했습니다.
• 텔레그램 API 데이터에는 사용자 정보, 메시지 내용, 채널 정보 등 민감한 정보가 포함될 수 있습니다.
• 탈취된 데이터는 악의적인 목적으로 사용될 수 있으며, 개인정보 유출 및 금전적 피해로 이어질 수 있습니다.

5️⃣ 소프트웨어 공급망 공격 (Supply Chain Attack)

• 소프트웨어 공급망 공격은 소프트웨어 개발 및 배포 과정에 침투하여 악성 코드를 삽입하거나 시스템을 손상시키는 공격 기법입니다.
• 이번 공격은 RubyGems라는 소프트웨어 공급망을 통해 악성 패키지를 배포하여 Fastlane 사용자를 공격한 사례입니다.
• 소프트웨어 공급망 공격은 광범위한 피해를 초래할 수 있으므로, 개발자와 사용자 모두 주의가 필요합니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=166661