John Nowacky
Οι χάκερ εξαπολύουν μια φρέσκια κύμα επιθέσεων με στόχο τη διάβρωση των συστημάτων των προγραμματιστών του Roblox χρησιμοποιώντας πλαστές npm πακέτα. Αυτή η τελευταία περιπέτεια υπογραμμίζει για μια ακόμα φορά τον τρόπο με τον οποίο οι δράστες απειλούν τον οικοσύστημα του λογισμικού ανοικτού κώδικα για τη διασπορά κακόβουλων προγραμμάτων.
Σε ένα τεχνικό έγγραφο, ο ερευνητής της Checkmarx, Yehuda Gelb, αποκάλυψε ότι οι επιτιθέμενοι έχουν δημιουργήσει πολλά πακέτα που μιμούνται τη δημοφιλή βιβλιοθήκη ‘noblox.js’. Αυτά τα πακέτα έχουν σχεδιαστεί ειδικά για να κλέβουν ευαίσθητα δεδομένα και να διαταράσσουν τα συστήματα. Ο Gelb προειδοποίησε ότι οι επιτιθέμενοι έχουν χρησιμοποιήσει τεχνικές όπως το brandjacking, το combosquatting και το starjacking για να δημιουργήσουν μια πειστική προσωποποίηση της νομιμότητας.
Η εκστρατεία ήρθε στο προσκήνιο όταν η ReversingLabs πρώτα την κατέγραψε τον Αύγουστο του 2023. Σύντομα ανακαλύφθηκε ότι αυτή η εκστρατεία ήταν μια επανάληψη μιας παρόμοιας επίθεσης που συνέβη δύο χρόνια νωρίτερα, τον Οκτώβριο του 2021, η οποία ενεπλάκη τη διάδοση ενός προγράμματος κλοπης με το όνομα Luna Token Grabber.
Μέσα σε αυτό το έτος, αναγνωρίστηκαν δύο επιπλέον κακόβουλα πακέτα, με τα ονόματα noblox.js-proxy-server και noblox-ts. Αυτά τα πακέτα προσωποποίησαν τη δημοφιλή βιβλιοθήκη του Node.js και μετέφεραν κακόβουλο λογισμικό κλοπής και ένα τροχό γραμμής εντολών απομακρυσμένης πρόσβασης με το όνομα Quasar RAT.
Για να κάνουν τα πράγματα ακόμα χειρότερα, οι επιτιθέμενοι έχουν επίσης χρησιμοποιήσει το starjacking, μια τεχνική όπου τα πλαστά πακέτα είναι καταχωρημένα στο πραγματικό αποθετήριο του noblox.js, προσθέτοντας περαιτέρω πιστοποίηση στην κακόβουλη πρόθεση τους.
Η πιο πρόσφατη εκδοχή αυτής της επίθεσης περιλαμβάνει την ενσωμάτωση κακόβουλου κώδικα στα πακέτα, τα οποία λειτουργούν ως πύλες για την εξυπηρέτηση επιπλέον φορτίων που φιλοξενούνται σε ένα αποθετήριο GitHub. Ταυτόχρονα, κλέβουν τα tokens του Discord, τροποποιούν τη λίστα εξαιρέσεων του Microsoft Defender Antivirus για να αποφύγουν την ανίχνευση, και δημιουργούν διαρκήτητα αλλάζοντας τις ρυθμίσεις του Μητρώου των Windows.
Μια σημαντική χαρακτηριστική τάση αυτού του κακόβουλου λογισμικού είναι η διαρκής φύση του. Εκμεταλλευόμενο την εφαρμογή Ρυθμίσεων των Windows, το malware διασφαλίζει συνεχή πρόσβαση στο μολυσμένο σύστημα. Ως αποτέλεσμα, κάθε φορά που ένας χρήστης προσπαθεί να έχει πρόσβαση στην εφαρμογή Ρυθμίσεων των Windows, εκτελεί ακούσια το malware αντί για αυτή.
Το τελικό αντικείμενο αυτής της αλυσίδας επίθεσης είναι η ανάπτυξη του Quasar RAT, δίνοντας στον εισβολέα απομακρυσμένο έλεγχο πάνω στο μολυσμένο σύστημα. Τα κλεμμένα στοιχεία στέλνονται στον διακομιστή εντολών και ελέγχου του επιτιθέμενου μέσω ενός Discord webhook.
Παρά τις προσπάθειες για την εξάλειψη αυτών των κακόβουλων πακέτων, συνεχίζεται η δημοσίευση νέων, υπογραμμίζοντας τη σημασία των προγραμματιστών να παραμένουν προσεκτικοί έναντι αυτής της συνεχούς απειλής.
