Neue Malware-Kampagne zielt auf Roblox-Entwickler durch NPM-Pakete ab

2 September 2024
New Malware Campaign Targets Roblox Developers Through NPM Packages

Eine kürzlich von Sicherheitsforschern bei Checkmarx entdeckte Entdeckung hat eine laufende Malware-Kampagne offengelegt, die Roblox-Entwickler durch bösartige npm-Pakete ins Visier nimmt. Die Angreifer geben sich als die beliebte „noblox.js“-Bibliothek aus und haben zahlreiche Pakete veröffentlicht, die darauf abzielen, sensible Informationen zu stehlen und Systeme zu kompromittieren.

Die Kampagne, die seit über einem Jahr aktiv ist, nutzt das Vertrauen, das in das Open-Source-Ökosystem gesetzt wird. Ihr Hauptziel ist die Roblox-Plattform, die für ihre massive Nutzerbasis von über 70 Millionen täglich aktiven Nutzern bekannt ist.

Trotz mehrerer Abschaltungen tauchen weiterhin neue bösartige Pakete auf und einige sind immer noch auf dem npm-Registry aktiv. Diese Persistenz ist besorgniserregend, da sie das Potenzial für weitere Angriffe erhöht.

Um eine Illusion der Legitimität zu erzeugen, haben die Angreifer verschiedene Techniken eingesetzt, darunter Brandjacking, Combosquatting und Starjacking. Sie erstellen Paketnamen, die legitime Erweiterungen der „noblox.js“-Bibliothek ähneln, wie z.B. „noblox.js-async“ und „noblox.js-thread“. Indem sie die Namensmuster echter Bibliotheken nachahmen, ist es wahrscheinlicher, dass ahnungslose Entwickler diese bösartigen Pakete installieren. Darüber hinaus verlinken die Angreifer ihre Pakete mit der GitHub-Repository-URL der legitimen Bibliothek, um die Beliebtheit und Vertrauenswürdigkeit ihrer Pakete zu fälschen.

Die Malware in den Paketen ist sorgfältig getarnt, wobei die Angreifer die Struktur der legitimen „noblox.js“-Bibliothek nachahmen. Sie fügen jedoch ihren bösartigen Code innerhalb der Datei „postinstall.js“ ein, und nutzen dabei eine starke Verschleierung, sogar chinesische Zeichen, um eine Analyse zu erschweren. Diese Kombination von Techniken erzeugt eine überzeugende Fassade, die die Wahrscheinlichkeit erhöht, dass Entwickler unwissentlich die bösartige Software installieren und ausführen.

Nach der Installation nutzt die Malware den „postinstall“-Hook von npm, der für legitime Einrichtungsprozesse gedacht ist, und verwandelt ihn in eine Eintrittspforte für die Ausführung der Malware. Der Code stiehlt Discord-Authentifizierungstoken, deaktiviert Sicherheitsmaßnahmen wie Malwarebytes und Windows Defender und lädt zusätzliche Payloads herunter.

Die Malware verwendet auch eine raffinierte Persistenztechnik, indem sie die Windows-Registrierung manipuliert, um sich jedes Mal auszuführen, wenn die Windows-Einstellungs-App geöffnet wird, um ihr Überleben im infizierten System zu gewährleisten. Sie sammelt sensible Systeminformationen und sendet sie über einen Discord-Webhook an den Befehls- und Kontrollserver der Angreifer. Der endgültige Schlag erfolgt mit der Bereitstellung von QuasarRAT, einem Remote-Zugriffstool, das dem Angreifer umfassende Kontrolle über das kompromittierte System ermöglicht.

Die fortwährende Präsenz der Infrastruktur der Angreifer, insbesondere eines aktiven GitHub-Repositorys, ist ein alarmierendes Zeichen dafür, dass weitere Malware-Verbreitung durch ahnungslose Pakete stattfinden könnte.

Entwickler, insbesondere diejenigen, die mit Paketen arbeiten, die beliebte Bibliotheken wie „noblox.js“ ähneln, sollten Vorsicht walten lassen. Eine gründliche Überprüfung von Paketen, bevor sie in Projekte integriert werden, ist entscheidend, um Entwickler und Benutzer vor raffinierten Angriffen auf die Lieferkette wie diese zu schützen.

Zusätzliche Fakten:
– Die Forscher von Checkmarx haben herausgefunden, dass die Malware-Kampagne seit über einem Jahr aktiv ist, was darauf hindeutet, dass die Angreifer hartnäckig sind und ihre Taktiken weiterentwickeln, um Entdeckung zu vermeiden.
– Die Roblox-Plattform wird hauptsächlich wegen ihrer großen Nutzerbasis ins Visier genommen, was sie zu einem attraktiven Ziel für Angreifer macht, die auf sensible Informationen und Systemkompromittierung abzielen.
– Die Angreifer nutzen verschiedene Techniken wie Brandjacking, Combosquatting und Starjacking, um Entwickler dazu zu bringen, ihre bösartigen Pakete zu installieren.
– Die bösartigen Pakete sind darauf ausgelegt, sensible Informationen zu stehlen, Sicherheitsmaßnahmen zu deaktivieren und zusätzliche Payloads herunterzuladen, was dem Angreifer letztendlich die Kontrolle über das kompromittierte System ermöglicht.
– Die Malware verwendet raffinierte Techniken, um Entdeckung zu vermeiden, darunter die Tarnung als legitime „noblox.js“-Bibliothek und die Verschleierung ihres Codes mit chinesischen Zeichen.
– Die Angreifer manipulieren die Windows-Registrierung, um die Persistenz der Malware im infizierten System sicherzustellen.
– Die Malware kommuniziert über einen Discord-Webhook mit dem Befehls- und Kontrollserver der Angreifer, was ihnen ermöglicht, sensible Systeminformationen zu sammeln und Remote-Zugriffstools einzusetzen.

Hauptfragen und Antworten:
1. Was ist das Hauptziel der Malware-Kampagne?
– Das Hauptziel der Malware-Kampagne ist die Roblox-Plattform, die für ihre große Nutzerbasis bekannt ist.

2. Wie lange ist die Malware-Kampagne aktiv?
– Die Malware-Kampagne ist seit über einem Jahr aktiv.

3. Welche Techniken verwenden die Angreifer, um Entwickler dazu zu bringen, ihre bösartigen Pakete zu installieren?
– Die Angreifer verwenden Techniken wie Brandjacking, Combosquatting und Starjacking, um Paketnamen zu erstellen, die legitime Erweiterungen der „noblox.js“-Bibliothek ähneln.

4. Wie stellt die Malware ihre Persistenz auf infizierten Systemen sicher?
– Die Malware manipuliert die Windows-Registrierung, um sich jedes Mal auszuführen, wenn die Windows-Einstellungs-App geöffnet wird, um ihr Überleben im infizierten System zu gewährleisten.

Herausforderungen oder Kontroversen:
– Eine wesentliche Herausforderung besteht in der fortlaufenden Präsenz der Infrastruktur der Angreifer, einschließlich eines aktiven GitHub-Repositorys, was auf die Möglichkeit weiterer Malware-Verbreitung durch ahnungslose Pakete hindeutet.

Vorteile:
– Der Artikel sensibilisiert für die laufende Malware-Kampagne, die Roblox-Entwickler über npm-Pakete ins Visier nimmt.
– Er betont die Bedeutung, Vorsicht walten zu lassen und Pakete vor der Integration in Projekte sorgfältig zu überprüfen, um Entwickler und Benutzer vor Angriffen auf die Lieferkette zu schützen.

Nachteile:
– Der Artikel gibt keine spezifischen Informationen über die Auswirkungen oder Konsequenzen der Malware-Kampagne auf Roblox-Entwickler oder die Roblox-Plattform.

Vorgeschlagener verwandter Link:
npm – Offizielle Website von npm, dem Paketmanager für JavaScript.

Don't Miss

Massive Discount on GTRacing 890MF Gaming Chair Awaits

Massiver Rabatt auf den GTRacing 890MF Gaming-Stuhl wartet

Der GTRacing 890MF Gaming-Stuhl ist derzeit mit einem beeindruckenden Rabatt
Half-Life 2’s 20th Anniversary Promises Exciting Surprises

Halbwertszeit 2 – 20. Jahrestag verspricht aufregende Überraschungen

Half-Life 2, der ikonische Ego-Shooter, nähert sich seinem 20. Geburtstag.