Недавнє відкриття дослідників з безпеки в Checkmarx розкрило продовжуючуся кампанію вірусів, яка спрямована на розробників Roblox за допомогою шкідливих пакетів npm. Атакуючі видаються під популярну бібліотеку “noblox.js” і опублікували численні пакети, призначені для крадіжки чутливої інформації та компрометації систем.
Ця кампанія, яка триває вже понад рік, використовує довіру, яку вкладають у відкриту екосистему. Її основною метою є платформа Roblox, відома своєю величезною користувацькою базою понад 70 мільйонів щоденних активних користувачів.
Незважаючи на кілька видалень, нові шкідливі пакети продовжують з’являтися, деякі з них все ще активні на реєстрі npm. Ця стійкість викликає стурбованість, оскільки вона підвищує потенціал для подальших атак.
Щоб створити вірус легітимності, атакуючі використовують різноманітні техніки, включаючи бренд-підробку, комбінування назв та зірочок. Вони створюють назви пакетів, які нагадують легітимні розширення бібліотеки “noblox.js”, такі як “noblox.js-async” та “noblox.js-thread”. Підробляючи шаблони назв справжніх бібліотек, невідомі розробники більш ймовірно встановлюють ці шкідливі пакети. Крім того, атакуючі співвідносять свої пакети з URL-адресою репозиторію GitHub справжньої бібліотеки, неправдиво збільшуючи популярність та довірливість своїх пакетів.
Вірус у пакетах тщо…