Pēdējā ziņojuma atklājumi no drošības pētniekiem Checkmarx ir atklājuši aktīvu ļaunprogrammatūras kampaņu, kas vērsta pret Roblox izstrādātājiem, izmantojot ļaunīgus npm pakotnes. Uzbrucēji izlieto populāro “noblox.js” bibliotēku un ir publicējuši vairākas pakotnes, kas izstrādes sistēmu nodara zaudējumus un kompromitē drošību.
Šī kampaņa, kas strādā jau vairāk kā gadu, izmanto tiem piešķirto uzticību atvērtā pirmkoda ekosistēmā. Galvenokārt tā mērķē Roblox platformu, kas ir pazīstama ar vairāk kā 70 miljoniem ikdienas aktīvo lietotāju.
Neskatoties uz dažu pakotņu apturēšanu, jaunas ļaunīgas pakotnes turpina parādīties, dažas no tām joprojām ir aktīvas npm reģistrā. Šis neatlaidīgums sagādā bažas, jo tas palielina iespēju veikt vēl papildu uzbrukumus.
Lai izveidotu likteņa sajūtu, uzbrucēji izmanto dažādus veidus, ieskaitot zīmolu pārkāpšanu, saslēgumu izlietošanu un pakotņu piekrāpšanu. Viņi radīs pakotņu nosaukumus, kas līdzinās īstām “noblox.js” bibliotēku paplašinājumiem, piemēram, “noblox.js-async” un “noblox.js-thread”. Pēc īsta bibliotēkas nosaukuma modeļa kopēšanas, neaizdomīga izstrādātājiem ir lielāka iespēja instalēt šīs ļaunīgās pakotnes. Turklāt uzbrucēji savas pakotnes saista ar īstās bibliotēkas GitHub repozitorija URL, viltus palielinot savu pakotņu popularitāti un uzticamību.
Ļaunumprogrammas iekšpusē esošās pakotnes ir uzmanīgi maskētas, uzbrucēji atdarina īstās “noblox.js” bibliotēkas struktūru. Tomēr viņi ievieš savu ļaunīgo kodu “postinstall.js” failā, to smagi apklājot, pat izmantojot ķīniešu rakstzīmes, lai novērstu analīzi. Šīs tehnikas kombinācija radīs pārliecinošu masku, palielinot iespēju, ka izstrādātāji nejauši instalēs un izpildīs ļaunīgu programmatūru.
Kad ir instalēta, ļaunprogramma izmanto npm “postinstall” āķi, kas paredzēts likumīgu iestatīšanas procesu veikšanai, pārvēršot to ļaunprogrammas izpildes vārtos. Kods izmanto Discord autentifikācijas žetonus, deaktivizē drošības pasākumus, piemēram, Malwarebytes un Windows Defender, un lejupielādē papildu kravas.
Ļaunprogramma izmanto arī sarežģītu noturības tehniku, manipulējot Windows reģistru, lai sevi katru reizi, kad tiek atvērta Windows iestatījumu lietotne, izpildītu, nodrošinot tā pārdzīvošanu inficētajā sistēmā. Tā apkopo jutīgu sistēmas informāciju un nosūta to uz uzbrucēju komandu un kontroles serveri, izmantojot Discord webhook. Galīgajās sekās seko QuasarRAT izvietošana, attālinās piekļuves rīks, kas sniedz uzbrucējam visaptverošu kontroli pār kompromitēto sistēmu.
Uzbrucēju infrastruktūras nepārtrauktā klātbūtne, it īpaši aktīvs GitHub repozitorijs, ir biedējošs signāls, ka turpmāka ļaunprogrammatūras izplatība var notikt, izmantojot neaizdomājas pakotnes.
Ieteikumi izstrādātājiem, īpaši tiem, kas strādā ar paketēm, kas līdzinās populārām bibliotēkām kā “noblox.js”, ir izturēt laiku un uzmanību. Pamatīgi pārbaudot pakotnes pirms tās iekļauj projektiem, ir būtiski, lai aizsargātu izstrādātājus un lietotājus no tādām sarežģītām piegādes ķēžu uzbrukumu ļaunprogrammām kā šī.
Vadu jautājumi un atbildes:
1. Kāds ir galvenais ļaunprogrammatūras kampaņas mērķis?
– Galvenais ļaunprogrammatūras kampaņas mērķis ir Roblox platforma, zināma ar tās lielo lietotāju skaitu.
2. Cik ilgi ļaunprogrammatūras kampaņa ir aktīva?
– Ļaunprogrammatūras kampaņa ir aktīva vairāk kā gadu.
3. Kādus veidus uzbrucēji izmanto, lai pārprašu dēļ izvairītos izstrādātāji iekļautu savas ļaunīgās pakotnes?
– Uzbrucēji izmanto veidus, piemēram zīmolu pārkāpšanu, saslēgumu lietošanu un pakotņu viltīšanu, lai radītu pakotņu nosaukumus, kas līdzinās īstām “noblox.js” bibliotēkām.
4. Kā ļaunprogramma nodrošina savu noturību inficētajās sistēmās?
– Ļaunprogramma manipulē Windows reģistru, lai izpildītu sevi katru reizi, kad tiek atvērta Windows iestatījumu lietotne, nodrošinot savu pārdzīvošanu inficētajā sistēmā.
Vadītās izaicinājums vai kontroversijas:
– Vienā no galvenajiem izaicinājumiem ir uzbrucēja infrastruktūras pastāvīgā klātbūtne, ieskaitot aktīvu GitHub repozitoriju, kas parāda potenciālu turpmāka ļaunprogrammatūras izplatību caur neaizdomājas pakotnēm.
Priekšrocības:
– Raksts apzinās aktīvu ļaunprogrammatūras kampaņu, kas ir vērsta pret Roblox izstrādātājiem, izmantojot npm pakotnes.
– Tas uzsvēra piesardzības vajadzību un pamatīgu pakotņu pārbaudi, pirms tās iekļauj projektos, lai aizsargātu izstrādātājus un lietotājus no piegādes ķēdes uzbrukumiem.
Trūkumi:
– Rakstā nav konkrētas informācijas par ļaunprogrammatūras kampaņas ietekmi vai sekām Roblox izstrādātājiem vai Roblox platformai.
Ieteikta saistītā saite:
npm – Oficiālā npm tīmekļa vietne, JavaScript pakotņu pārvaldnieks.