Nedavno odkritje varnostnih raziskovalcev pri Checkmarxu je razkrilo nenehno kampanjo zlonamerne programske opreme, ki cilja na razvijalce Robloxa prek zlonamernih npm paketov. Napadalci se predstavljajo kot priljubljena knjižnica “noblox.js” in so objavili številne pakete, namenjene kraji občutljivih informacij in kompromitiranju sistemov.
Kampanja, ki je aktivna že več kot leto dni, izkorišča zaupanje, ki ga je postavljeno v ekosistem odprtokodnih virov. Njen glavni cilj je platforma Roblox, ki je znana po svoji ogromni bazi uporabnikov, več kot 70 milijonov dnevnih aktivnih uporabnikov.
Kljub več poskusom odprave novih zlonamernih paketov še naprej nastajajo, pri čemer so nekateri še vedno aktivni v npm registru. Ta vztrajnost je zaskrbljujoča, saj povečuje možnosti za nadaljnje napade.
Napadalci so uporabili različne tehnike, da bi ustvarili videz legitimnosti, med drugim brandjacking, combosquatting in starjacking. Ustvarijo imena paketov, ki spominjajo na legitimne razširitve knjižnice “noblox.js”, kot so “noblox.js-async” in “noblox.js-thread”. Z ustvarjanjem imenskih vzorcev pristnih knjižnic se nevede razvijalci bolj verjetno odločijo namestiti te zlonamerne pakete. Poleg tega napadalci svoje pakete povežejo z URL-naslovom repozitorija GitHub legitimne knjižnice, napihnijo priljubljenost in zaupljivost svojih paketov.
Zlonamerna programska oprema v paketih je skrbno zamaskirana, napadalci ponovno ustvarijo strukturo legitimne knjižnice “noblox.js”. Vendar pa uvedejo svojo zlonamerno kodo znotraj datoteke “postinstall.js”, močno jo zasenčijo, celo uporabljajo kitajske znake, da otežijo analizo. Ta kombinacija tehnik ustvari prepričljiv videz, povečuje možnosti, da razvijalci nenamerno namestijo in izvedejo zlonamerno programsko opremo.
Ko je nameščen, zlonamerna programska oprema izrablja »postinstall« kuke v npm, ki je namenjen legitimnim namestitvenim postopkom, tako da jo spremeni v vrata za izvedbo zlonamerne programske opreme. Koda kraje Discordovih avtentikacijskih žetonov, onemogoči varnostne ukrepe, kot sta Malwarebytes in Windows Defender, ter prenese dodatne obremenitve.
Zlonamerna programska oprema uporablja tudi zapleteno tehniko vztrajnosti s spreminjanjem registra sistema Windows, da se izvaja vsakič, ko je odprta aplikacija Windows Settings, kar zagotavlja preživetje v okuženem sistemu. Zbira občutljive informacije o sistemu in jih pošilja na strežnik za nadzor in nadzor napadalcev prek Discord webhooka. Končni udarec pride z razporeditvijo QuasarRAT, orodja za oddaljen dostop, ki napadalcu zagotovi celovit nadzor nad kompromitiranim sistemom.
Neprekinjena prisotnost infrastrukture napadalca, zlasti aktivnega repozitorija GitHub, je zaskrbljujoč znak, da bi lahko prihajalo do nadaljnjega distribuiranja zlonamerne programske opreme prek nepoučnih paketov.
Razvijalci, zlasti tisti, ki delajo z paketi, podobnimi priljubljenim knjižnicam, kot je “noblox.js”, naj bodo previdni. Temeljito preverjanje paketov pred vključitvijo v projekte je ključno za zaščito razvijalcev in uporabnikov pred naprednimi napadi prehranske verige, kot je ta.
Dodatna dejstva:
– Raziskovalci Checkmarxa so odkrili, da je bila kampanja zlonamerne programske opreme dejavna že več kot leto dni, kar kaže, da so napadalci vztrajni in še naprej prilagajajo svoje taktike, da se izognejo odkrivanju.
– Platformo Roblox je predvsem tarčil zaradi velike baze uporabnikov, zaradi česar je privlačna tarča za napadalce, ki želijo pridobiti dostop do občutljivih informacij in kompromitirati sisteme.
– Napadalci uporabljajo različne tehnike, kot so brandjacking, combosquatting in starjacking, da bi zavajali razvijalce in jih prepričali v namestitev njihovih zlonamernih paketov.
– Zlonamerne pakete so zasnovali tako, da kradejo občutljive informacije, onemogočijo varnostne ukrepe in prenesejo dodatne obremenitve, kar naposled daje napadalcu nadzor nad kompromitiranim sistemom.
– Zlonamerna programska oprema uporablja sofisticirane tehnike za izogibanje odkrivanju, med drugim se predstavlja kot legitimna knjižnica “noblox.js” in zasenčuje svojo kodo s kitajskimi znaki.
– Napadalci manipulirajo register sistema Windows, da zagotovijo vztrajnost zlonamerne programske opreme na okuženem sistemu.
– Zlonamerna programska oprema komunicira s strežnikom za nadzor in nadzor napadalcev prek Discord webhooka, kar jim omogoča zbiranje občutljivih informacij o sistemu in uporabo orodij za oddaljen dostop.
Ključna vprašanja in odgovori:
1. Kdo je glavna tarča kampanje zlonamerne programske opreme?
– Glavna tarča kampanje zlonamerne programske opreme je platforma Roblox, znana po svoji veliki bazi uporabnikov.
2. Koliko časa je bila aktivna kampanja zlonamerne programske opreme?
– Kampanja zlonamerne programske opreme je bila aktivna več kot leto dni.
3. Katere tehnike uporabljajo napadalci, da bi zavajali razvijalce glede namestitve svojih zlonamernih paketov?
– Napadalci uporabljajo tehnike, kot so brandjacking, combosquatting in starjacking, da bi ustvarili imena paketov, ki spominjajo na legitimne razširitve knjižnice “noblox.js”.
4. Kako zlonamerna programska oprema zagotavlja svojo vztrajnost na okuženih sistemih?
– Zlonamerna programska oprema manipulira register sistema Windows, da se izvaja vsakič, ko je odprta aplikacija Windows Settings, kar zagotavlja preživetje na okuženem sistemu.
Ključni izzivi ali kontroverze:
– Eden od ključnih izzivov je neprekinjena prisotnost infrastrukture napadalca, vključno z aktivnim repozitorijem GitHub, ki kaže na potencial za nadaljnje distribuiranje zlonamerne programske opreme prek nepoučnih paketov.
Prednosti:
– Članek ozavešča o nenehni kampanji zlonamerne programske opreme, ki cilja na razvijalce Robloxa prek npm paketov.
– Poudarja pomen previdnosti in temeljitega preverjanja paketov pred vključitvijo v projekte za zaščito razvijalcev in uporabnikov pred napadi prehranske verige.
Slabosti:
– Članek ne nudi konkretnih informacij o vplivu ali posledicah kampanje zlonamerne programske opreme na razvijalce Robloxa ali platformo Roblox.
Predlagana povezava:
npm – Uradna spletna stran npm, upravitelja paketov za JavaScript.