En nylig opdagelse af sikkerhedsforskere hos Checkmarx har afsløret en vedvarende malware-kampagne, der retter sig mod Roblox-udviklere gennem ondsindede npm-pakker. Angriberne udgiver sig for den populære “noblox.js” -bibliotek og har offentliggjort adskillige pakker designet til at stjæle følsomme oplysninger og kompromittere systemer.
Kampagnen, der har været aktiv i over et år, udnytter den tillid, der er placeret i det åbne kildekode-økosystem. Dens primære mål er Roblox-platformen, kendt for sit massive brugergrundlag på over 70 millioner daglige aktive brugere.
Trods flere nedtagninger fortsætter nye ondsindede pakker med at dukke op, hvoraf nogle stadig er aktive på npm-registreret. Denne vedholdenhed er bekymrende, da den øger potentialet for yderligere angreb.
For at skabe en illusion af legitimitet har angriberne anvendt forskellige teknikker, herunder brandjacking, combosquatting og starjacking. De opretter pakkenavne, der ligner legitime udvidelser af “noblox.js” -biblioteket, såsom “noblox.js-async” og “noblox.js-thread”. Ved at efterligne navngivningsmønstrene for ægte biblioteker er intetanende udviklere mere tilbøjelige til at installere disse ondsindede pakker. Desuden forbinder angriberne deres pakker til GitHub-repositorie-URL’en for det legitime bibliotek og dermed falsk opfyldende deres pakkers popularitet og tillid.
Malwaren i pakkerne er omhyggeligt skjult, hvor angriberne efterligner strukturen af det legitime “noblox.js” -bibliotek. Dog introducerer de deres ondsindede kode inden for “postinstall.js” -filen, der er kraftigt obskur, endda med at bruge kinesiske tegn for at afskrække analyse. Denne kombination af teknikker skaber en overbevisende facade, der øger chancerne for, at udviklere ved et uheld installerer og udfører den ondsindede software.
Når den er installeret, udnytter malwaren npm’s “postinstall” -hook, der er beregnet til legitime opsætningsprocesser, og omdanner det til en gateway for malwarens udførelse. Koden stjæler Discord-autentificeringstokens, deaktiverer sikkerhedsforanstaltninger som Malwarebytes og Windows Defender og downloader yderligere nyttelast.
Malwaren anvender også en sofistikeret vedholdenhedsteknik ved at manipulere Windows-registreringsdatabasen for at udføre sig selv hver gang Windows-indstillingsappen åbnes, hvilket sikrer dens overlevelse på det inficerede system. Den indsamler følsom systeminformation og sender den til angribernes kommando-og-kontrol server via en Discord-webhook. Det endelige slag kommer med implementeringen af QuasarRAT, et fjernadgangsværktøj, der giver angriberen omfattende kontrol over det kompromitterede system.
Den vedvarende tilstedeværelse af angribernes infrastruktur, især et aktivt GitHub-repositorie, er et alarmerende tegn på, at yderligere malware-distribution kan finde sted gennem intetanende pakker.
Udviklere, især dem, der arbejder med pakker, der ligner populære biblioteker som “noblox.js”, rådes til at udvise forsigtighed. En grundig gennemgang af pakker før implementering i projekter er afgørende for at beskytte udviklere og brugere mod sofistikerede forsyningskædeangreb som dette.
Som angribere bliver stadig bedre til at udnytte tilliden i det åbne kildekode-økosystem, er det afgørende, at udviklere forbliver årvågne og skeptiske.
Yderligere fakta:
– Checkmarx-forskere opdagede, at malware-kampagnen har været aktiv i over et år, hvilket indikerer, at angriberne er vedholdende og fortsætter med at tilpasse deres taktik for at undgå opdagelse.
– Roblox-platformen er primært målet på grund af sit store brugergrundlag, hvilket gør den til et attraktivt mål for angribere, der ønsker at få adgang til følsomme oplysninger og kompromittere systemer.
– Angriberne anvender forskellige teknikker såsom brandjacking, combosquatting og starjacking for at narre udviklere til at installere deres ondsindede pakker.
– De ondsindede pakker er designet til at stjæle følsomme oplysninger, deaktivere sikkerhedsforanstaltninger og downloade yderligere nyttelast, hvilket i sidste ende giver angriberen kontrol over det kompromitterede system.
– Malwaren bruger sofistikerede teknikker til at undgå opdagelse, herunder at forklæde sig som det legitime “noblox.js” -bibliotek og obskurere sin kode med kinesiske tegn.
– Angriberne manipulerer Windows-registreringsdatabasen for at sikre malwarens vedholdenhed på det inficerede system.
– Malwaren kommunikerer med angribernes kommando-og-kontrol server via en Discord-webhook, hvilket giver dem mulighed for at indsamle følsom systeminformation og implementere fjernadgangsværktøjer.
Centrale spørgsmål og svar:
1. Hvad er primærmålet med malware-kampagnen?
– Primærmålet med malware-kampagnen er Roblox-platformen, kendt for sit store brugergrundlag.
2. Hvor længe har malware-kampagnen været aktiv?
– Malware-kampagnen har været aktiv i over et år.
3. Hvilke teknikker bruger angriberne til at narre udviklere til at installere deres ondsindede pakker?
– Angriberne bruger teknikker såsom brandjacking, combosquatting og starjacking til at oprette pakkenavne, der ligner legitime udvidelser af “noblox.js” -biblioteket.
4. Hvordan sikrer malwaren sin vedholdenhed på inficerede systemer?
– Malwaren manipulerer Windows-registreringsdatabasen for at udføre sig selv hver gang Windows-indstillingsappen åbnes, hvilket sikrer dens overlevelse på det inficerede system.
Centrale udfordringer eller kontroverser:
– En central udfordring er den vedvarende tilstedeværelse af angribernes infrastruktur, herunder et aktivt GitHub-repositorie, hvilket indikerer potentialet for yderligere malware-distribution gennem intetanende pakker.
Fordele:
– Artiklen skaber bevidsthed om den vedvarende malware-kampagne, der retter sig mod Roblox-udviklere gennem npm-pakker.
– Den understreger vigtigheden af at udvise forsigtighed og gennemgå pakker grundigt, før de inkorporeres i projekter for at beskytte udviklere og brugere mod forsyningskædeangreb.
Ulemper:
– Artiklen giver ikke specifik information om konsekvenserne eller konsekvenserne af malware-kampagnen for Roblox-udviklere eller Roblox-platformen.
Foreslået relateret link:
npm – Officiel hjemmeside for npm, pakkehåndteringsprogrammet til JavaScript.