Nov val napadi ciljajo na razvijalce Robloxa.
Hekerji zdaj izvajajo svež val napadov, usmerjenih v kompromitiranje sistemov razvijalcev Roblox z uporabo lažnih npm paketov. Ta najnovejši incident ponovno poudarja, kako napadalci izkoriščajo zaupanje v ekosistem odprte kode za distribucijo zlonamerne programske opreme.
V tehničnem poročilu je raziskovalec Checkmarx, Yehuda Gelb, razkril, da so napadalci ustvarili številne pakete, ki posnemajo široko uporabljeno knjižnico ‘noblox.js’. Ti paketi so bili posebej zasnovani za krajo občutljivih podatkov in kompromitiranje sistemov. Gelb je opozoril, da so napadalci uporabili tehnike, kot so brandjacking, combosquatting in starjacking, da bi ustvarili prepričljivo fasado legalnosti.
Kampanja je prišla na plan, ko je ReversingLabs prvič dokumentiral njeno obstoj avgusta 2023. Hitro je bilo ugotovljeno, da je bila ta kampanja ponovitev podobnega napada, ki se je zgodil dve leti prej, oktobra 2021, in je vključeval distribucijo orodja za krajo imenovanega Luna Token Grabber.
Skupaj z letom so bila ugotovljena še dva zlonamerna paketa, imenovana noblox.js-proxy-server in noblox-ts. Ti paketi so posnemali priljubljeno knjižnico Node.js in dostavljali zlonamerno programsko opremo za krajo in daljinski dostopni trojanec Quasar RAT.
Da bi bilo še slabše, so napadalci uporabili tudi starjacking, tehniko, kjer so lažni paketi navedeni pod dejanskim repozitorijem noblox.js, kar dodaja dodatno verodostojnost njihovim zlonamernim nameram.
Najnovejša inkarnacija tega napada vključuje vdelavo zlonamerne kode v pakete, ki delujejo kot vrata za streženje dodatnih obremenitev, gostovanih na repozitoriju GitHub. Hkrati ukradejo Discord žetone, spremenijo seznam izvzetij programa Microsoft Defender Antivirus, da se izognejo zaznavi ter vzpostavijo vztrajnost z spreminjanjem nastavitev registra sistema Windows.
Ena od opaznih značilnosti te zlonamerne programske opreme je vztrajna narava. Z izkoriščanjem aplikacije Nastavitve sistema Windows, zlonamerna programska oprema zagotavlja trajen dostop do okuženega sistema. Posledično, kadarkoli uporabnik poskuša dostopiti do aplikacije Nastavitve sistema Windows, nevede izvrši zlonamerno programsko opremo namesto tega.
Namen te verige napadov je implementacija Quasar RAT, ki omogoči napadalcu daljinski nadzor nad kompromitiranim sistemom. Ukradene informacije so nato poslane na strežnik ukazovanja in kontrole napadalca preko Discord povezave.
Kljub prizadevanjem za uničenje teh zlonamernih paketov, se nadaljuje njihova objava, kar kaže na pomembnost, da razvijalci ostanejo pozorni na to trajajočo grožnjo.
Če je bil ta članek zanimiv, nas spremljajte na Twitterju in LinkedInu za več ekskluzivnih vsebin.
The source of the article is from the blog publicsectortravel.org.uk