Yeni Kötü Amaçlı Yazılım Kampanyası, NPM Paketleri Aracılığıyla Roblox Geliştiricilerini Hedef Alıyor

2 Eylül 2024
New Malware Campaign Targets Roblox Developers Through NPM Packages

Güvenlik araştırmacıları tarafından yapılan son keşif, Checkmarx şirketindeki araştırmacılar tarafından Roblox geliştiricilerini hedef alan kötü amaçlı npm paketlerini kullanan süregelen bir kötü amaçlı yazılım kampanyasını ortaya çıkardı. Saldırganlar popüler “noblox.js” kütüphanesinin sahtelerini oluşturuyor ve hassas bilgileri çalmayı ve sistemleri tehlikeye atmaya yönelik tasarlanmış birçok paket yayınladılar.

Bu kampanya, bir yıldan fazla süredir devam ediyor ve açık kaynak ekosistemine duyulan güveni suistimal ediyor. Ana hedefi, 70 milyondan fazla günlük aktif kullanıcıya sahip olan Roblox platformudur.

Birçok engelleme olmasına rağmen, yeni kötü amaçlı paketler ortaya çıkmaya devam ediyor ve bazıları hala npm kayıt defterinde etkin durumda. Bu süreklilik, daha fazla saldırı olasılığını artırarak endişe verici bir durum oluşturuyor.

Saldırganlar, sahte bir meşruiyet algısı yaratmak için marka taklitçiliği, kombosalama ve yıldız taklitçiliği gibi çeşitli teknikler kullanmışlardır. “noblox.js” kütüphanesinin orijinal uzantılarını taklit eden “noblox.js-async” ve “noblox.js-thread” gibi paket adları oluştururlar. Gerçek kütüphanelerin adlandırma kalıplarını taklit ederek, şüphelenmeyen geliştiricilerin bu kötü amaçlı paketleri yüklemesi daha olası hale gelir. Ek olarak, saldırganlar paketlerini meşru kütüphanenin GitHub deposu URL’sine bağlar ve böylece kendi paketlerinin popülerliğini ve güvenilirliğini yanıltıcı şekilde arttırırlar.

Paketlerdeki kötü amaçlı yazılım dikkatle gizlenmiştir; saldırganlar, “noblox.js” kütüphanesinin yapısını taklit ederler. Ancak kötü amaçlı kodu “postinstall.js” dosyasına yerleştirirler ve bunu ağır şekilde şifreleyerek, hatta analizi zorlaştırmak için Çin karakterleri bile kullanırlar. Bu teknik kombinasyon, geliştiricilerin yanlışlıkla bu kötü amaçlı yazılımı yükleyip çalıştırma olasılıklarını artırarak inandırıcı bir yüzey oluşturur.

Yüklenildikten sonra, kötü amaçlı yazılım, npm’in “postinstall” kancasını kullanarak, aslında meşru bir kurulum süreci için tasarlanmış olanı kötü amaçlı yazılımın yürütülmesi için bir geçiş noktasına dönüştürür. Bu kod, Discord kimlik doğrulama jetonlarını çalar, Malwarebytes ve Windows Defender gibi güvenlik önlemlerini devre dışı bırakır ve ek yükler indirir.

Kötü amaçlı yazılım ayrıca, enfekte olmuş sistemin üzerinde kalmasını sağlamak için Windows kayıt defterini manipüle ederek sofistike bir süreklilik tekniği kullanır. Hassas sistem bilgilerini toplar ve Discord webhook üzerinden saldırganların komuta ve kontrol sunucusuna gönderir. Son darbe, komprome edilmiş sistemi kontrol altına alan kapsamlı bir erişim sağlayan QuasarRAT’ın dağıtımıyla gelir.

Aktif bir GitHub deposu da dahil olmak üzere saldırganın altyapısının devamlı varlığı, daha fazla kötü amaçlı yazılımın şüphesiz paketler üzerinden dağıtılabileceğine dair endişe verici bir işarettir.

Özellikle “noblox.js” gibi popüler kütüphaneleri içeren paketlerle çalışan geliştiricilerin dikkatli olmaları önerilir. Bu tür saldırılara karşı korunmak için paketlerin projelere dahil edilmeden önce titizlikle gözden geçirilmesi son derece önemlidir.

Saldırganların açık kaynak ekosistemindeki güveni suiistimal etme konusunda giderek daha becerikli hale gelmeleri, geliştiricilerin uyanık ve şüpheci olmalarının önemli olduğunu göstermektedir.

Ek bilgiler:
– Checkmarx araştırmacıları, saldırganların süregelen bir kötü amaçlı yazılım kampanyasının en az bir yıldır aktif olduğunu keşfetmiştir, bu da saldırganların ısrarcı olduğunu ve taktiklerini tespit edilmekten kaçınmak için sürekli olarak uyarlandığını göstermektedir.
– Roblox platformu, büyük kullanıcı tabanından dolayı başlıca hedef alınmaktadır ve hassas bilgilere erişmek ve sistemleri tehlikeye atmak isteyen saldırganlar için çekici bir hedef konumundadır.
– Saldırganlar, geliştiricileri kötü amaçlı paketlerini yüklemeye kandırmak için marka taklitçiliği, kombosalama ve yıldız taklitçiliği gibi çeşitli teknikler kullanırlar.
– Kötü amaçlı paketler, hassas bilgileri çalmayı, güvenlik önlemlerini devre dışı bırakmayı ve ek yükler indirmeyi amaçlayarak, nihayetinde saldırganın komprome edilmiş sistemi kontrol altına almasını sağlar.
– Kötü amaçlı yazılım, kendisini meşru “noblox.js” kütüphanesinin bir parçası gibi göstermek ve kodunu Çin karakterleri gibi gizlemek gibi sofistike teknikler kullanarak tespit edilmeyi engeller.
– Saldırganlar, enfekte sistemdeki kötü amaçlı yazılımın kalıcılığını sağlamak amacıyla Windows kayıt defterini manipüle ederler.
– Kötü amaçlı yazılım, Discord web kancası aracılığıyla saldırganların komuta ve kontrol sunucusuyla iletişim kurar, hassas sistem bilgilerini toplar ve uzaktan erişim araçlarını dağıtır.

Anahtar sorular ve cevaplar:
1. Kötü amaçlı yazılım kampanyasının başlıca hedefi nedir?
– Kötü amaçlı yazılım kampanyasının başlıca hedefi, büyük kullanıcı tabanıyla tanınan Roblox platformudur.

2. Kötü amaçlı yazılım kampanyası ne kadar süredir aktif?
– Kötü amaçlı yazılım kampanyası bir yıldan fazla süredir aktiftir.

3. Saldırganlar, geliştiricileri kötü amaçlı paketlerini yüklemeye kandırmak için hangi teknikleri kullanıyor?
– Saldırganlar, geliştiricileri kötü amaçlı paketlerini yüklemeye kandırmak için marka taklitçiliği, kombosalama ve yıldız taklitçiliği gibi teknikleri kullanıyor.

4. Kötü amaçlı yazılım, enfekte sistemlerde kalıcılığını nasıl sağlıyor?
– Kötü amaçlı yazılım, Windows kayıt defterini manipüle ederek kendisini her Windows Ayarlar uygulaması açıldığında yürütmesini sağlayarak enfekte sistemde kalıcılığını sağlıyor.

Ana zorluklar veya tartışmalar:
– Saldırganın altyapısının, aktif bir GitHub deposu da dahil olmak üzere devamlı olarak varlığının sürmesi, şüphesiz paketler aracılığıyla daha fazla kötü amaçlı yazılımın dağıtılabileceğine dair potansiyeli gösteren endişe verici bir işaret olarak karşımıza çıkıyor.

Avantajlar:
– Makale, Roblox geliştiricilerini hedef alan süregelen kötü amaçlı yazılım kampanyasına karşı farkındalık yaratıyor.
– Geliştiricileri ve kullanıcıları, bu tür saldırılara karşı korumak için projelere dahil etmeden önce paketleri titizlikle gözden geçirme gerekliliğini vurguluyor.

Dezavantajlar:
– Makale, Roblox geliştiricileri veya Roblox platformunun kötü amaçlı yazılım kampanyasının etkisi veya sonuçları hakkında belirli bilgiler sunmamaktadır.

Tavsiye edilen ilgili bağlantı:
npm – JavaScript için paket yöneticisi olan npm’in resmi web sitesi.

Don't Miss

New DDoS Campaign Exploits Misconfigured Jupyter Notebooks

Yeni DDoS Kampanyası Yanlış Yapılandırılmış Jupyter Defterlerini Kullanıyor

Son zamanlarda dağıtık reddetme saldırısı (DDoS) kampanyası olan “Panamorfi” adlı
Unlock the Secrets! Discover Never-Before-Seen Codes for Wizard’s Tower Defense

Sırları Açığa Çıkar! Büyücü Kulesi Savunması için Daha Önce Görülmemiş Kodları Keşfet

Oyun topluluğu, artırılmış gerçeklik (AR) teknolojisindeki en son atılımla çalkalanıyor: