Arthur Herring
Viimeaikainen löytö Checkmarxin tietoturvatahoilta on paljastanut jatkuvan haittaohjelmakampanjan, joka kohdistaa Roblox-kehittäjiä ilkeiden npm-pakettien avulla. Hyökkääjät esiintyvät suositun ”noblox.js” -kirjaston hahmossa ja ovat julkaisseet lukuisia paketteja, jotka on suunniteltu varastamaan arkaluontoisia tietoja ja kompromisoimaan järjestelmiä.
Kampanja, joka on ollut aktiivinen yli vuoden, hyödyntää avoimesta ekosysteemistä saamaansa luottamusta. Sen ensisijainen kohde on Roblox-alusta, joka tunnetaan yli 70 miljoonasta päivittäisestä aktiivisesta käyttäjästään.
Useista poistoista huolimatta uusia haitallisia paketteja jatkaa ilmaantumistaan, ja jotkut niistä ovat edelleen aktiivisia npm-rekisterissä. Tämä sitkeys on huolestuttavaa, sillä se lisää mahdollisuuksia uusille hyökkäyksille.
Luodakseen laillisuuden illuusion hyökkääjät ovat käyttäneet erilaisia tekniikoita, kuten brandjackingia, combosquattingia ja starjackingia. He luovat pakettinimiä, jotka muistuttavat ”noblox.js” -kirjaston aitoja laajennuksia, kuten ”noblox.js-async” ja ”noblox.js-thread”. Matkimalla aitojen kirjastojen nimeämisrakenteita tietämättömät kehittäjät ovat todennäköisemmin asentamassa näitä haitallisia paketteja. Lisäksi hyökkääjät linkittävät pakettinsa aitoa kirjastoa vastaavaan GitHub-repositorion URL-osoitteeseen, vääristäen näin pakettiensa suosiota ja luotettavuutta.
Paketteihin kätketty haittaohjelma on huolellisesti naamioitu, ja hyökkääjät jäljittelevät aitoa ”noblox.js” -kirjaston rakennetta. He kuitenkin lisäävät haitallisen koodinsa ”postinstall.js” -tiedostoon, vahvasti häivyttäen sitä jopa käyttäen kiinalaisia merkkejä analyysin estämiseksi. Näiden tekniikoiden yhdistelmä luo uskottavan ulkokuoren, kasvattaen kehittäjien mahdollisuuksia asentaa ja suorittaa haitallista ohjelmistoa vahingossa.
Asennuksen jälkeen haittaohjelma hyödyntää npm:n ”postinstall” -koukkua, joka on tarkoitettu laillisiin asennusprosesseihin, muuttaen sen haittaohjelman suorituksen portiksi. Koodi varastaa Discordin todennustokenit, poistaa turvatoimia kuten Malwarebytesin ja Windows Defenderin sekä lataa lisää haittaohjelmia.
Haittaohjelma käyttää myös monimutkaista pysyvyystekniikkaa manipuloimalla Windowsin rekisteriä suorittaakseen itsensä aina, kun Windowsin Asetukset-sovellus avataan, varmistaen siten selviytymisensä tartunnan saaneessa järjestelmässä. Se kerää herkkää järjestelmätietoa ja lähettää sen hyökkääjien komennoista ja kontrollista vastaavalle palvelimelle Discord-pikaviestinsolmun kautta. Lopullinen isku tulee QuasarRAT:n käyttöönoton myötä, etäyhteysvälineenä, joka antaa hyökkääjälle kattavan hallinnan kompromisoituun järjestelmään.
Hyökkääjän infrastruktuurin, erityisesti aktiivisen GitHub-repositorion, jatkuva läsnäolo on hälyttävä merkki siitä, että lisää haittaohjelmien jakelua voi tapahtua huomaamattomien pakettien kautta.
Kehittäjille, erityisesti niille, jotka työskentelevät pakettien parissa, jotka muistuttavat suosittuja kirjastoja kuten ”noblox.js”, suositellaan harjoittamaan varovaisuutta. Pakettien perusteellinen arviointi ennen niiden sisällyttämistä projekteihin on elintärkeää kehittäjien ja käyttäjien suojelemiseksi tällaisilta kehittyneiltä toimitusketjun hyökkäyksiltä.
Hyökkääjien taitojen lisääntyessä avoimen lähdekoodin ekosysteemissä luottamuksen hyväksikäytössä on välttämätöntä, että kehittäjät pysyvät valppaina ja epäilevinä.
