Jaunais uzbrukumu vilnis pret Roblox izstrādātājiem

Hakeri palaistuva svaigu uzbrukumu vilni, mēģinot kompromitēt Roblox izstrādātāju sistēmas, izmantojot viltotas npm paketes. Šī jaunākā incidents atkal uzsver, kā draudiem veicēji izmanto uzticību atvērtā koda ekosistēmā, lai izplatītu ļaundabīgas programmatūras.

Tehniskajā ziņojumā Checkmarx pētnieks Yehuda Gelb atklāja, ka uzbrucēji ir izveidojuši vairākas paketes, kas imitē plaši izmantoto ‘noblox.js’ bibliotēku. Šīs paketes ir speciāli izstrādātas, lai pārņemtu jutīgas datus un apdraudētu sistēmas. Gelb brīdināja, ka uzbrucēji ir izmantojuši tehnikas kā brandjacking, combosquatting un starjacking, lai radītu pārliecinošu likumības fasadu.

Kampaņa nāca gaismā, kad ReversingLabs pirmo reizi dokumentēja tās eksistenci 2023. gada augustā. Drīz tika atklāts, ka šī kampaņa bija atkārtojums līdzīgam uzbrukumam, kas notika divus gadus iepriekš, 2021. gada oktobrī, un kurā tika izplatīts ļaundabīga programmatūra, ko sauc par Luna Token Grabber.

Šogad tika identificētas vēl divas ļaundabīgas paketes, kas saukās noblox.js-proxy-server un noblox-ts. Šīs paketes imitēja populāro Node.js bibliotēku un piegādāja ļaundabīgu programmatūru un tālvadības piekļuves trojas zirnekli, ko sauc par Quasar RAT.

Lai padarītu lietas vēl sliktākas, uzbrucēji ir izmantojuši arī starjacking tehniku, kur viltotas paketes ir iekļautas patiesā noblox.js repozitorijā, piešķirot tām lielāku uzticamību.

Šī uzbrukuma jaunā izpausme ietver ļaundabīgas kodola iegulšanu paketēs, kas darbojas kā vārti, lai izplatītu papildu slodzes, kas tiek uzglabātas GitHub repozitorijā. Viņi vienlaikus izkrāpj Discord tokenus, modificē Microsoft Defender Antivirus izslēgšanas sarakstu, lai izvairītos no atklāšanas, un izveido pastāvību, mainot Windows reģistra iestatījumus.

Šīs ļaundabīgās programmatūras pamanāma iezīme ir tās noturīgā daba. Izmantojot Windows Iestatījumu lietotni, ļaundabīgā programmatūra nodrošina pastāvīgu piekļuvi inficētajai sistēmai. Tā rezultātā, kad lietotājs cenšas piekļūt Windows Iestatījumu lietotnei, viņi neapzināti palaist programmatūru.

Šī uzbrukuma ķēdes galvenais mērķis ir izvietot Quasar RAT, piešķirot uzbrucējam tālvadības kontroli pār kompromitēto sistēmu. Nolaupītā informācija tad tiek nosūtīta uz uzbrucēja komandpultu, izmantojot Discord webhook.

Neskatoties uz centieniem novērst šīs ļaundabīgās paketes, turpina tikt publicētas jaunas paketes, atkārtoti uzsverot attīstītāju svarību palikt piesardzīgiem pret šo nepārtraukto draudu.

Ja šis raksts jums šķita interesants, sekojiet mums Twitter un LinkedIn platformās, lai lasītu vēl vairāk ekskluzīva satura.

Saistītie fakti:
– Roblox ir populāra tiešsaistes platforma, kur lietotāji var izveidot un spēlēties spēles.
– ‘noblox.js’ bibliotēka ir plaši izmantota bibliotēka, kuru izmanto Roblox izstrādātāji, lai sazinātos ar Roblox platformu.
– npm ir JavaScript pakotņu pārvaldnieks, ko izmanto izstrādātāji, lai instalētu un pārvaldītu atkarības savos projektos.
– Brandjacking ir tehnika, kur uzbrucēji izveido viltotas paketes, kas imitē populāras bibliotēkas vai paketes, lai ievilinātu lietotājus tās lejupielādēt un instalēt.
– Combosquatting ir tehnika, kur uzbrucēji reģistrē domēnu nosaukumus, kas ir līdzīgi legitīmiem, lai mānītu lietotājus apmeklēt savus ļaundabīgos tīmekļa vietnes.
– Izteiciens “starjacking” attiecas uz uzbrucēju praksi augšupielādēt ļaundabīgas paketes ar likumīga pakotņu repozitorija nosaukumu, piemēram, npm.

Galvenie jautājumi:
1. Kā hakeri vēršas pret Roblox izstrādāju sistēmām?
– Hakeri izveido viltotas npm paketes, kas imitē plaši izmantoto ‘noblox.js’ bibliotēku, lai pārņemtu jutīgas datus un apdraudētu sistēmas.

2. Kādas tehnikas uzbrucēji izmanto, lai maldinātu lietotājus?
– Uzbrucēji izmanto tehnikas kā brandjacking, combosquatting un starjacking, lai radītu pārliecinošu likumības fasadu un izplatītu ļaundabīgu programmatūru.

3. Kad sākās šī uzbrukumu vilnis?
– Kampaņa tika pirmo reizi dokumentēta 2023. gada augustā, bet tā ir atkārtojums līdzīgam uzbrukumam, kas notika 2021. gada oktobrī.

Galvenie izaicinājumi/kontroverses:
– Viens no galvenajiem izaicinājumiem ir nepārtraukta jaunu ļaundabīgu paketu izveidošana un izplatīšana, neskatoties uz centieniem tos novērst. Tas uzsver nepieciešamību izstrādātājiem palikt piesardzīgiem un veikt piesardzības pasākumus, lai aizsargātu savas sistēmas.

Priekšrocības:
– Iepazīstoties ar šiem uzbrukumiem un to tehnikām, izstrādātāji var ķerties pie pasākumiem, lai aizsargātu savas sistēmas un datus no apdraudējumiem.
– Tehniskais ziņojums no Checkmarx pētnieka Yehuda Gelb sniedz vērtīgus ieteikumus par uzbrucēju izmantotajām taktikām šajā konkrētajā kampaņā.

Trūkumi:
– Šie uzbrukumi var novest pie jutīgu datu zādzības un sistēmu apdraudēšanas, iespējami radot finansiālus un reputācijas zaudējumus indivīdiem un organizācijām.
– Nepārtrauktā jaunu ļaundabīgu paketu izveide rada izaicinājumus savlaicīgai atklāšanai un novēršanai.

Saistītas saites:
– Checkmarx Twitter
– Checkmarx LinkedIn

The source of the article is from the blog procarsrl.com.ar