Arthur Herring
Uma descoberta recente feita por pesquisadores de segurança da Checkmarx revelou uma campanha de malware em andamento que visa os desenvolvedores do Roblox por meio de pacotes npm maliciosos. Os atacantes estão se passando pela popular biblioteca “noblox.js” e publicaram inúmeros pacotes projetados para roubar informações sensíveis e comprometer sistemas.
A campanha, que está ativa há mais de um ano, aproveita a confiança depositada no ecossistema de código aberto. Seu principal alvo é a plataforma Roblox, conhecida por sua enorme base de usuários de mais de 70 milhões de usuários ativos diariamente.
Apesar de várias remoções, novos pacotes maliciosos continuam surgindo, com alguns ainda ativos no registro npm. Essa persistência é preocupante, pois aumenta o potencial para futuros ataques.
Para criar uma ilusão de legitimidade, os atacantes empregaram várias técnicas, incluindo brandjacking, combosquatting e starjacking. Eles criam nomes de pacotes que se assemelham a extensões legítimas da biblioteca “noblox.js”, como “noblox.js-async” e “noblox.js-thread”. Ao imitar os padrões de nomenclatura de bibliotecas genuínas, os desenvolvedores desprevenidos são mais propensos a instalar esses pacotes maliciosos. Além disso, os atacantes vinculam seus pacotes à URL do repositório GitHub da biblioteca legítima, inflando falsamente a popularidade e confiabilidade de seus pacotes.
O malware dentro dos pacotes é cuidadosamente disfarçado, com os atacantes replicando a estrutura da biblioteca legítima “noblox.js”. No entanto, eles inserem seu código malicioso no arquivo “postinstall.js”, o obfuscando intensamente, chegando até a usar caracteres chineses para dificultar a análise. Essa combinação de técnicas cria uma fachada convincente, aumentando as chances de os desenvolvedores inadvertidamente instalarem e executarem o software malicioso.
Uma vez instalado, o malware explora o gatilho “postinstall” do npm, que é destinado a processos de configuração legítimos, transformando-o em uma porta de entrada para a execução do malware. O código rouba tokens de autenticação do Discord, desativa medidas de segurança como Malwarebytes e Windows Defender e faz o download de payloads adicionais.
O malware também utiliza uma técnica de persistência sofisticada, manipulando o registro do Windows para se executar toda vez que o aplicativo Configurações do Windows é aberto, garantindo sua sobrevivência no sistema infectado. Ele coleta informações sensíveis do sistema e as envia para o servidor de comando e controle dos atacantes por meio de um webhook do Discord. O golpe final ocorre com a implantação do QuasarRAT, uma ferramenta de acesso remoto que concede ao atacante controle abrangente sobre o sistema comprometido.
A presença contínua da infraestrutura dos atacantes, especialmente um repositório ativo no GitHub, é um sinal alarmante de que mais distribuição de malware pode estar ocorrendo por meio de pacotes inadvertidos.
Desenvolvedores, especialmente aqueles que trabalham com pacotes que se assemelham a bibliotecas populares como “noblox.js”, são aconselhados a agir com cautela. A verificação minuciosa dos pacotes antes de incorporá-los em projetos é crucial para proteger os desenvolvedores e os usuários de ataques sofisticados à cadeia de suprimentos como esse.
Como os atacantes se tornam cada vez mais hábeis em explorar a confiança dentro do ecossistema de código aberto, é essencial que os desenvolvedores permaneçam vigilantes e céticos.
Fatos adicionais:
– Os pesquisadores da Checkmarx descobriram que a campanha de malware está ativa há mais de um ano, indicando que os atacantes são persistentes e continuam a adaptar suas táticas para evadir a detecção.
– A plataforma Roblox é primariamente visada devido à sua grande base de usuários, tornando-a um alvo atrativo para atacantes em busca de acesso a informações sensíveis e comprometimento de sistemas.
– Os atacantes empregam diversas técnicas, como brandjacking, combosquatting e starjacking, para enganar os desenvolvedores a instalar seus pacotes maliciosos.
– Os pacotes maliciosos são projetados para roubar informações sensíveis, desativar medidas de segurança e fazer o download de payloads adicionais, dando ao atacante controle sobre o sistema comprometido.
– O malware utiliza técnicas sofisticadas para evadir detecção, incluindo se disfarçar como a biblioteca legítima “noblox.js” e obfuscando seu código com caracteres chineses.
– Os atacantes manipulam o registro do Windows para garantir a persistência do malware no sistema infectado.
– O malware se comunica com o servidor de comando e controle dos atacantes por meio de um webhook do Discord, permitindo a coleta de informações sensíveis do sistema e a implantação de ferramentas de acesso remoto.
Perguntas e respostas-chave:
1. Qual é o principal alvo da campanha de malware?
– O principal alvo da campanha de malware é a plataforma Roblox, conhecida por sua grande base de usuários.
2. Há quanto tempo a campanha de malware está ativa?
– A campanha de malware está ativa há mais de um ano.
3. Que técnicas os atacantes usam para enganar os desenvolvedores a instalar seus pacotes maliciosos?
– Os atacantes usam técnicas como brandjacking, combosquatting e starjacking para criar nomes de pacotes que se assemelham a extensões legítimas da biblioteca “noblox.js”.
4. Como o malware garante sua persistência em sistemas infectados?
– O malware manipula o registro do Windows para se executar toda vez que o aplicativo Configurações do Windows é aberto, garantindo sua sobrevivência no sistema infectado.
Desafios ou controvérsias-chave:
– Um dos principais desafios é a presença contínua da infraestrutura dos atacantes, incluindo um repositório ativo no GitHub, o que indica o potencial para mais distribuição de malware por meio de pacotes inadvertidos.
Vantagens:
– O artigo fornece uma conscientização sobre a campanha de malware em andamento que visa os desenvolvedores do Roblox por meio de pacotes npm.
– Destaca a importância de agir com cautela e verificar minuciosamente os pacotes antes de incorporá-los em projetos para proteger os desenvolvedores e usuários de ataques à cadeia de suprimentos.
Desvantagens:
– O artigo não fornece informações específicas sobre o impacto ou consequências da campanha de malware nos desenvolvedores do Roblox ou na plataforma Roblox.
Link relacionado sugerido:
npm – Site oficial do npm, o gerenciador de pacotes para JavaScript.
