Arthur Herring
Последно откритие от екипа за сигурност на Checkmarx разкри продължаваща кампания с малуер, която насочва разработчиците на Roblox чрез злонамерени npm пакети. Атакуващите се преструват под популярната библиотека „noblox.js“ и са публикували множество пакети, целящи да крадат чувствителна информация и да компрометират системите.
Кампанията, която е активна вече повече от година, се възползва от доверието, положено в отворената екосистема. Основната цел е платформата Roblox, известна с масивната си потребителска база от над 70 милиона активни потребители всеки ден.
Въпреки няколко премахвания, все още се появяват нови злонамерени пакети, някои от които продължават да бъдат активни в регистъра на npm. Тази упоритост е безпокояща, тъй като увеличава потенциала за допълнителни атаки.
За да създадат илюзия за легитимност, атакуващите са използвали различни техники, включително brandjacking, combosquatting и starjacking. Те създават имена на пакети, които приличат на легитимни разширения на библиотеката „noblox.js“, като „noblox.js-async“ и „noblox.js-thread“. Като се преструват, че са част от правилата на истинските библиотеки, недомислени разработчици са по-склонни да инсталират тези злонамерени пакети. Допълнително, атакуващите свързват своите пакети с URL адреса на GitHub хранилището на истинската библиотека, фалшиво увеличавайки популярността и надеждността на техните пакети.
Малуерът в пакетите е внимателно замаскиран, като атакуващите репликират структурата на легитимната библиотека „noblox.js“. Обаче те вкарват своя злонамерен код във файла „postinstall.js“ и го силно затрудняват за анализ, дори използвайки китайски знаци, за да отблъснат анализа. Тази комбинация от техники създава убедителна фасада, увеличавайки шансовете за инсталиране и изпълнение на злонамерен софтуер от разработчиците.
След като бъде инсталиран, малуерът злоупотребява с „postinstall“ кука на npm, която е предназначена за легитимни настройки, превръщайки я в портал за изпълнение на малуера. Кода краде токени за удостоверяване в Discord, деактивира сигурността като Malwarebytes и Windows Defender и изтегля допълнителни товари.
Малуерът също използва сложна техника за устойчивост, като манипулира Windows регистъра, за да се изпълнява всяка път, когато се отваря приложението за настройки в Windows, гарантирайки си оцеляването върху заразената система. Той събира чувствителна системна информация и я изпраща на управляващия сървър за команди и контрол през Discord webhook. Последният удар идва с разпространението на QuasarRAT, инструмент за отдалечен достъп, който дава на атакуващия пълен контрол върху компрометираната система.
Продължаващото присъствие на инфраструктурата на атакуващия, особено активно GitHub хранилище, е тревожен знак, че може да се провежда допълнително разпространение на малуери чрез недомислени пакети.
Разработчиците, особено тези, които работят с пакети, приличащи на популярни библиотеки като „noblox.js“, се съветват да бъдат внимателни. Внимателното проверяване на пакетите преди да бъдат интегрирани в проекти е от съществено значение за защита на разработчиците и потребителите от толкова измислени атаки върху веригите на доставка.
Допълнителни факти:
– Изследователите на Checkmarx откриха, че кампанията с малуер е активна вече повече от година, което показва, че атакуващите са упорити и продължават да приспособяват тактиките си, за да избегнат откриване.
– Платформата Roblox е главната цел поради голямата си потребителска база, което я прави привлекателна цел за атакуващите, които търсят достъп до чувствителна информация и компрометиране на системи.
– Атакуващите използват различни техники като brandjacking, combosquatting и starjacking, за да примамят разработчиците да инсталират техните злонамерени пакети.
– Злонамерените пакети са създадени да крадат чувствителна информация, деактивират сигурностни мерки и изтеглят допълнителни товари, като в крайна сметка дават на атакуващия контрол над компрометираната система.
– Малуерът използва сложни техники, за да избегне откриване, включително преструвайки се за легитимната библиотека „noblox.js“ и затруднявайки кода си с китайски символи.
– Атакуващите манипулират Windows регистъра, за да гарантират устойчивостта на малуера върху заразената система.
– Малуерът комуникира с управляващия сървър на атакуващите чрез Discord webhook, позволявайки им да събират чувствителна системна информация и да разпространяват инструменти за отдалечен достъп.
Ключови въпроси и отговори:
1. Каква е основната цел на кампанията с малуер?
– Основната цел на кампанията с малуер е платформата Roblox, известна с голямата си потребителска база.
2. Колко време е активна кампанията с малуер?
– Кампанията с малуер е активна вече повече от година.
3. Какви техники използват атакуващите, за да примамят разработчиците да инсталират техните злонамерени пакети?
– Атакуващите използват техники като brandjacking, combosquatting и starjacking, за да създадат имена на пакети, които приличат на легитимни разширения на библиотеката „noblox.js“.
4. Как малуера гарантира устойчивостта си върху заразените системи?
– Малуера манипулира Windows регистъра, за да се изпълнява всяка път, когато се отваря приложението за настройки в Windows, гарантирайки си оцеляването върху заразената система.
Ключови предизвикателства или спорове:
– Един от ключовите предизвикателства е продължаващото присъствие на инфраструктурата на атакуващия, включително активно GitHub хранилище, което указва на възможността за допълнително разпространение на малуери чрез недомислени пакети.
Предимства:
– Статията предлага осведоменост за продължаващата кампания с малуер, която цели разработчиците на Roblox чрез npm пакети.
– Подчертава значението на внимателното използване и проверката на пакетите преди да бъдат интегрирани в проекти, което е от съществено значение за защита на разработчиците и потребителите от атаки върху веригите на доставка.
Недостатъци:
– Статията не предоставя конкретна информация за въздействието или последиците от кампанията с малуер върху разработчиците на Roblox или платформата Roblox.
Препоръчителен свързан линк:
npm – Официалният уебсайт на npm, пакетният мениджър за JavaScript.
