Una recentă descoperire făcută de cercetătorii în securitate de la Checkmarx a dezvăluit o campanie de malware în curs care vizează dezvoltatorii Roblox prin intermediul pachetelor npm malițioase. Atacatorii se fac drept cunoscuta bibliotecă „noblox.js” și au publicat numeroase pachete menite să fure informații sensibile și să compromită sistemele.
Campania, care este activă de peste un an, profită de încrederea acordată ecosistemului open-source. Principalul său obiectiv este platforma Roblox, cunoscută pentru baza sa masivă de utilizatori, având peste 70 de milioane de utilizatori activi zilnic.
În ciuda mai multor retrageri, continuă să apară noi pachete malițioase, unele rămânând active în registrul npm. Această persistență este îngrijorătoare, deoarece mărește potențialul pentru noi atacuri.
Pentru a crea o iluzie de legitimitate, atacatorii au folosit diverse tehnici, inclusiv brandjacking, combosquatting și starjacking. Ei creează nume de pachete care seamănă cu extensiile legitime ale bibliotecii „noblox.js”, precum „noblox.js-async” și „noblox.js-thread”. Prin imitarea modelului de denumire al bibliotecilor autentice, dezvoltatorii neatenți sunt mai predispuși să instaleze aceste pachete malițioase. În plus, atacatorii leagă pachetele de URL-ul de depozit GitHub al bibliotecii legitime, falsificând popularitatea și încrederea pachetelor lor.
Malware-ul din pachete este atent mască, cu atacatorii reproducând structura bibliotecii legitime „noblox.js”. Cu toate acestea, ei introduc codul malițios în fișierul „postinstall.js”, obscenizându-l puternic, folosind chiar caractere chinezești pentru a descuraja analiza. Această combinație de tehnici creează o fațadă convingătoare, crescând șansele ca dezvoltatorii să instaleze și să execute în mod accidental software-ul malițios.
Odată instalat, malware-ul exploatează hook-ul „postinstall” al npm, menit pentru procesele legitime de instalare, transformându-l într-o poartă de execuție a malware-ului. Codul fură tokenuri de autentificare Discord, dezactivează măsurile de securitate precum Malwarebytes și Windows Defender și descarcă încărcături suplimentare.
Malware-ul folosește și o tehnică sofisticată de persistență, manipulând registrele Windows pentru a se executa de fiecare dată când aplicația Setări Windows este deschisă, asigurându-și supraviețuirea în sistemul infectat. Strânge informații sensibile despre sistem și le trimite la serverul de comandă și control al atacatorilor printr-un webhook Discord. Lovitura finală vine odată cu implementarea QuasarRAT, un instrument de acces la distanță care oferă atacatorului control extins asupra sistemului compromis.
Prezența continuă a infrastructurii atacatorului, în special a unui depozit GitHub activ, este un semnal alarmant că ar putea avea loc distribuții suplimentare de malware prin pachete neatenționate.
Dezvoltatorii, în special cei care lucrează cu pachete care seamănă cu bibliotecile populare precum „noblox.js”, sunt sfătuiți să fie prudenți. Verificarea cu atenție a pachetelor înainte de a le încorpora în proiecte este crucială pentru a-i proteja pe dezvoltatori și pe utilizatori de atacuri sofisticate asupra lanțului de aprovizionare, precum acesta.
Avantaje:
– Articolul oferă conștientizare asupra campaniei de malware în curs care vizează dezvoltatorii Roblox prin intermediul pachetelor npm.
– Subliniază importanța exercitării prudenței și verificarea amănunțită a pachetelor înainte de a le incorpora în proiecte pentru a-i proteja pe dezvoltatori și pe utilizatori de atacuri la lanțul de aprovizionare.
Linkul sugerat pentru informații suplimentare:
npm – Site-ul oficial npm, managerul de pachete pentru JavaScript.