Nowa fala ataków skierowana przeciwko deweloperom Roblox
Hakerzy rozpoczęli nową falę ataków, których celem jest naruszenie systemów deweloperów Roblox poprzez wykorzystanie fałszywych pakietów npm. Ten najnowszy incydent ponownie podkreśla, jak sprawcy zagrożeń wykorzystują zaufanie do ekosystemu oprogramowania open-source w celu rozpowszechniania złośliwego oprogramowania.
W raporcie technicznym badacz Checkmarx, Yehuda Gelb, ujawnił, że atakujący stworzyli liczne pakiety, które imitują szeroko używaną bibliotekę 'noblox.js’. Te pakiety zostały specjalnie zaprojektowane do kradzieży wrażliwych danych i kompromitowania systemów. Gelb ostrzegł, że atakujący wykorzystali techniki takie jak brandjacking, combosquatting i starjacking, aby stworzyć przekonującą fasadę legalności.
Kampania wyszła na jaw, gdy ReversingLabs po raz pierwszy udokumentowało jej istnienie w sierpniu 2023 roku. Szybko okazało się, że ta kampania była powtórzeniem podobnego ataku, który miał miejsce dwa lata wcześniej, w październiku 2021 roku, polegającego na rozpowszechnianiu kradzieżnika o nazwie Luna Token Grabber.
W ciągu tego roku zidentyfikowano dwa dodatkowe złośliwe pakiety, nazwane noblox.js-proxy-server i noblox-ts. Te pakiety podszywały się pod popularną bibliotekę Node.js i dostarczały złośliwe oprogramowanie kradzieżnika oraz zdalny trojan dostępu o nazwie Quasar RAT.
Aby sprawy były gorsze, atakujący wykorzystali także starjacking, technikę, w której fałszywe pakiety są umieszczane w repozytorium noblox.js, dodając tym samym dalszą wiarygodność ich złośliwym zamiarom.
Najnowsza iteracja tego ataku polega na osadzeniu złośliwego kodu w pakietach, które pełnią funkcję bramki do dostarczania dodatkowych ładunków przechowywanych w repozytorium GitHub. Jednocześnie kradną one tokeny Discord, modyfikują listę wyłączeń Microsoft Defender Antivirus w celu uniknięcia wykrycia oraz ustalają trwałość poprzez zmianę ustawień rejestru systemu Windows.
Charakterystyczną cechą tego złośliwego oprogramowania jest jego trwała natura. Poprzez wykorzystanie aplikacji Ustawienia systemu Windows, malware zapewnia stały dostęp do zainfekowanego systemu. W rezultacie za każdym razem, gdy użytkownik próbuje uzyskać dostęp do aplikacji Ustawienia systemu Windows, nieświadomie uruchamia złośliwe oprogramowanie.
Ostatecznym celem tej sekwencji ataków jest wdrożenie Quasar RAT, co umożliwia atakującemu zdalną kontrolę nad skompromitowanym systemem. Skradzione informacje są następnie wysyłane do serwera poleceń i kontroli atakującego za pomocą webhooka Discord.
Mimo prób usunięcia tych złośliwych pakietów, nadal są one publikowane, co podkreśla ważność pozostawania deweloperów czujnymi wobec tego trwającego zagrożenia.
Jeśli ten artykuł był dla Ciebie interesujący, śledź nas na Twitterze i LinkedIn, aby uzyskać więcej ekskluzywnych treści.
The source of the article is from the blog radiohotmusic.it