Los hackers están lanzando una nueva ola de ataques destinados a comprometer los sistemas de los desarrolladores de Roblox mediante el uso de paquetes npm fraudulentos. Este último incidente destaca una vez más cómo los actores de amenazas están explotando la confianza en el ecosistema de código abierto para distribuir malware.
En un informe técnico, el investigador de Checkmarx, Yehuda Gelb, reveló que los atacantes han creado numerosos paquetes que imitan la ampliamente utilizada librería ‘noblox.js’. Estos paquetes han sido diseñados específicamente para robar datos sensibles y comprometer sistemas. Gelb advirtió que los atacantes han utilizado técnicas como el brandjacking, combosquatting y starjacking para crear una fachada convincente de legitimidad.
La campaña salió a la luz cuando ReversingLabs documentó su existencia por primera vez en agosto de 2023. Pronto se descubrió que esta campaña era una repetición de un ataque similar que ocurrió dos años antes, en octubre de 2021, que involucraba la distribución de un stealer llamado Luna Token Grabber.
A lo largo de este año, se identificaron dos paquetes maliciosos adicionales, llamados noblox.js-proxy-server y noblox-ts. Estos paquetes se hicieron pasar por la popular librería de Node.js y distribuyeron malware stealer y un troyano de acceso remoto llamado Quasar RAT.
Para empeorar las cosas, los atacantes también han empleado el starjacking, una técnica en la que los paquetes fraudulentos están listados bajo el repositorio real de noblox.js, añadiendo mayor credibilidad a sus intenciones maliciosas.
La última iteración de este ataque implica incrustar código malicioso en los paquetes, que actúan como puertas de enlace para servir cargas adicionales alojadas en un repositorio de GitHub. Simultáneamente, roban tokens de Discord, modifican la lista de exclusión de Microsoft Defender Antivirus para evitar la detección y establecen persistencia alterando la configuración del Registro de Windows.
Una característica notable de este malware es su carácter persistente. Al explotar la aplicación Configuración de Windows, el malware asegura un acceso sostenido al sistema infectado. Como resultado, cada vez que un usuario intenta acceder a la aplicación Configuración de Windows, ejecutan inadvertidamente el malware en su lugar.
El objetivo final de esta cadena de ataques es desplegar Quasar RAT, otorgando al atacante control remoto sobre el sistema comprometido. La información robada es luego enviada al servidor de comando y control del atacante a través de un webhook de Discord.
A pesar de los esfuerzos por eliminar estos paquetes maliciosos, continúan siendo publicados nuevos, subrayando la importancia de que los desarrolladores permanezcan vigilantes contra esta amenaza continua.
Si encontraste interesante este artículo, síguenos en Twitter y LinkedIn para más contenido exclusivo.
Datos Adicionales:
– Roblox es una plataforma en línea popular donde los usuarios pueden crear y jugar juegos.
– La librería ‘noblox.js’ es una librería ampliamente utilizada por los desarrolladores de Roblox que proporciona APIs y herramientas para interactuar con la plataforma de Roblox.
– npm es un gestor de paquetes para JavaScript y es comúnmente utilizado por los desarrolladores para instalar y gestionar dependencias en sus proyectos.
– Brandjacking es una técnica en la que los atacantes crean paquetes fraudulentos que imitan librerías o paquetes populares para engañar a los usuarios y hacer que los descarguen e instalen.
– Combosquatting es una técnica en la que los atacantes registran nombres de dominio similares a nombres legítimos para engañar a los usuarios y hacer que visiten sus sitios web maliciosos.
– El término «starjacking» se refiere a la práctica de los atacantes de subir paquetes maliciosos bajo el nombre de un paquete legítimo en un repositorio de código, como npm.