Les hackers lancent une nouvelle vague d’attaques visant à compromettre les systèmes des développeurs Roblox en utilisant des packages npm frauduleux. Cet incident récent souligne une fois de plus comment les acteurs malveillants exploitent la confiance dans l’écosystème open-source pour distribuer des logiciels malveillants.
Dans un rapport technique, le chercheur de Checkmarx, Yehuda Gelb, a révélé que les attaquants ont créé de nombreux packages imitant la bibliothèque largement utilisée ‘noblox.js’. Ces packages ont été spécifiquement conçus pour voler des données sensibles et compromettre des systèmes. Gelb a averti que les attaquants ont utilisé des techniques telles que le brandjacking, le combosquatting et le starjacking pour créer une façade convaincante de légitimité.
La campagne a été révélée lorsque ReversingLabs en a documenté l’existence pour la première fois en août 2023. Il a rapidement été découvert que cette campagne était une répétition d’une attaque similaire survenue deux ans auparavant, en octobre 2021, qui impliquait la distribution d’un voleur appelé Luna Token Grabber.
Au cours de cette année, deux packages malveillants supplémentaires, nommés noblox.js-proxy-server et noblox-ts, ont été identifiés. Ces packages ont imité la célèbre bibliothèque Node.js et ont distribué un logiciel malveillant voleur ainsi qu’un cheval de Troie d’accès distant appelé Quasar RAT.
Pour aggraver les choses, les attaquants ont également utilisé le starjacking, une technique où les packages frauduleux sont listés sous le véritable référentiel noblox.js, ajoutant ainsi une crédibilité supplémentaire à leur intention malveillante.
La dernière itération de cette attaque implique l’insertion de code malveillant dans les packages, servant de passerelles pour délivrer des payloads supplémentaires hébergés sur un référentiel GitHub. En même temps, ils volent des jetons Discord, modifient la liste d’exclusion de l’antivirus Microsoft Defender pour éviter la détection et établissent la persistance en modifiant les paramètres du Registre de Windows.
Une caractéristique notable de ce logiciel malveillant est sa nature persistante. En exploitant l’application Paramètres de Windows, le logiciel malveillant garantit un accès soutenu au système infecté. Ainsi, chaque fois qu’un utilisateur tente d’accéder à l’application Paramètres de Windows, il exécute involontairement le logiciel malveillant.
L’objectif ultime de cette chaîne d’attaque est de déployer Quasar RAT, accordant à l’attaquant un contrôle à distance sur le système compromis. Les informations volées sont ensuite envoyées au serveur de commande et de contrôle de l’attaquant via un webhook Discord.
Malgré les efforts déployés pour supprimer ces packages malveillants, de nouveaux continuent d’être publiés, soulignant l’importance pour les développeurs de rester vigilants contre cette menace persistante.