هکرها دست به حملههای جدیدی زدهاند که هدف از آن، تخریب سیستمهای توسعهدهندگان Roblox با استفاده از بستههای npm فریبنده است. این حوادث اخیر نشان میدهند که چگونه عوامل تهدید ثقت سازمانها را مورد سوءاستفاده قرار داده و برای توزیع نرمافزارهای مخرب از اکوسیستم متنباز بهره میبرند.
در یک گزارش فنی، پژوهشگر Checkmarx به نام یهودا گلب اعلام کرد که حملهکنندگان تعداد زیادی بسته ایجاد کردهاند که به طور تقلبی کتابخانه ‘noblox.js’ را تقلید میکنند. این بستهها برای دزدیدن دادههای حساس و تخریب سیستمها طراحی شدهاند. گلب هشدار داد که حملهکنندگان از تکنیکهایی مانند brandjacking، combosquatting و starjacking استفاده کردهاند تا یک رویه قانعکننده از اعتبار پایدار را ایجاد کنند.
این کمپین به روشنی آمد وقتی که ReversingLabs ابتدا وجود آن را در اوت 2023 ثبت کرد. به سرعت مشخص شد که این کمپین تکرار یک حمله مشابه است که دو سال قبل، در اکتبر 2021 رخ داد، و در آن یک برنامه دزدانه به نام لونا توکن گریبر پخش شده بود.
در طول امسال، دو بسته آلوده دیگر به نام noblox.js-proxy-server و noblox-ts شناسایی شدند. این بستهها کتابخانه پرطرفدار Node.js را جعل کرده و نرمافزارهای دزدانهگر و تروجان دسترسی از راه دوری به نام Quasar RAT ارائه دادند.
برای ادامه یافتن به آن بدتر شد، حملهکنندگان از starjacking نیز استفاده کردهاند، تکنیکی که در آن بستههای تقلبی زیر نام مخزن واقعی noblox.js لیست شدهاند و به این ترتیب اعتبار بیشتری برای هدف مخرب خود ایجاد کردهاند.
آخرین نسخه از این حمله شامل تعبیه کد مخرب در بستهها میشود که به عنوان درگاههایی برای ارائه بارهای اضافی میزبانی شده در یک مخزن GitHub عمل میکنند. همزمان، آنها Tokenهای Discord را دزدیده، فهرست از مستثنیات ضدویروس Microsoft Defender را تغییر داده تا از شناسایی خودداری کند و با تغییر تنظیمات ثبت ویندوز، در دسترسی پایدار قرار میدهند.
یک ویژگی مهم این نرمافزار، طبیعت پایداری آن است. با بهرهگیری از برنامه تنظیمات ویندوز، نرمافزار میطمینکند که دسترسی کامل به سیستم آلوده را داشته باشد. بنابراین، هر زمان که یک کاربر تلاش میکند به برنامه تنظیمات ویندوز دسترسی پیدا کند، به طور ناخواسته نرمافزار را اجرا میکنند.
هدف نهایی این جانبهای حمله، استقرار Quasar RAT است که عامل حمله را قادر به کنترل از راه دور بر روی سیستم تخریبشده میسازد. اطلاعات دزدیدهشده سپس از طریق یک webhook Discord به سرور فرمان و کنترل حملهکننده ارسال میشود.
با وجود تلاشهایی برای حذف این بستههای مخرب، بستههای جدیدی به تازگی منتشر شدهاند که نقش حیاتی مطالبه توجه توسعهدهندگان روبرو با این تهدید مداوم را تاکید میکند.
اگر این مقاله جالب بود، ما را در توییتر و لینکدین دنبال کنید تا اطلاعات اختصاصی بیشتری را ببینید.