Una reciente descubrimiento por investigadores de seguridad de Checkmarx ha revelado una campaña de malware en curso que apunta a desarrolladores de Roblox a través de paquetes maliciosos de npm. Los atacantes se hacen pasar por la popular biblioteca «noblox.js» y han publicado numerosos paquetes diseñados para robar información sensible y comprometer sistemas.
La campaña, que ha estado activa durante más de un año, aprovecha la confianza depositada en el ecosistema de código abierto. Su objetivo principal es la plataforma Roblox, conocida por su vasta base de usuarios de más de 70 millones de usuarios activos diarios.
A pesar de varios desmantelamientos, nuevos paquetes maliciosos continúan surgiendo, algunos de los cuales todavía están activos en el registro de npm. Esta persistencia es preocupante, ya que aumenta el potencial de nuevos ataques.
Para crear una ilusión de legitimidad, los atacantes han empleado varias técnicas, como el brandjacking, combosquatting y starjacking. Crean nombres de paquetes que se asemejan a extensiones legítimas de la biblioteca «noblox.js», como «noblox.js-async» y «noblox.js-thread». Al imitar los patrones de nomenclatura de bibliotecas genuinas, los desarrolladores desprevenidos son más propensos a instalar estos paquetes maliciosos. Además, los atacantes vinculan sus paquetes a la URL del repositorio de GitHub de la biblioteca legítima, inflando falsamente la popularidad y confiabilidad de sus paquetes.
El malware dentro de los paquetes está cuidadosamente disfrazado, con los atacantes replicando la estructura de la legítima biblioteca «noblox.js». Sin embargo, introducen su código malicioso dentro del archivo «postinstall.js», ofuscándolo en gran medida, incluso utilizando caracteres chinos para disuadir el análisis. Esta combinación de técnicas crea una fachada convincente, aumentando las posibilidades de que los desarrolladores instalen y ejecuten involuntariamente el software malicioso.
Una vez instalado, el malware explota el gancho «postinstall» de npm, que está destinado a procesos de instalación legítimos, convirtiéndolo en una puerta de entrada para la ejecución del malware. El código roba tokens de autenticación de Discord, desactiva medidas de seguridad como Malwarebytes y Windows Defender, y descarga cargas adicionales.
El malware también utiliza una técnica de persistencia sofisticada al manipular el registro de Windows para ejecutarse cada vez que se abre la aplicación de Configuración de Windows, asegurando su supervivencia en el sistema infectado. Reúne información sensible del sistema y la envía al servidor de comando y control de los atacantes a través de un webhook de Discord. El golpe final llega con el despliegue de QuasarRAT, una herramienta de acceso remoto que otorga al atacante control total sobre el sistema comprometido.
La presencia continua de la infraestructura del atacante, particularmente un repositorio activo de GitHub, es una señal alarmante de que puede estar ocurriendo una distribución adicional de malware a través de paquetes desprevenidos.
Se aconseja a los desarrolladores, especialmente aquellos que trabajan con paquetes que se asemejan a bibliotecas populares como «noblox.js», que ejerzan precaución. Es crucial revisar minuciosamente los paquetes antes de incorporarlos a los proyectos para proteger a los desarrolladores y usuarios de ataques sofisticados en la cadena de suministro como este.
A medida que los atacantes se vuelven cada vez más hábiles en explotar la confianza dentro del ecosistema de código abierto, es esencial que los desarrolladores se mantengan vigilantes y escépticos.
Datos adicionales:
– Los investigadores de Checkmarx descubrieron que la campaña de malware ha estado activa durante más de un año, lo que indica que los atacantes son persistentes y continúan adaptando sus tácticas para evadir detección.
– La plataforma Roblox es el principal objetivo debido a su amplia base de usuarios, lo que la convierte en un objetivo atractivo para los atacantes que buscan acceder a información sensible y comprometer sistemas.
– Los atacantes emplean diversas técnicas como brandjacking, combosquatting y starjacking para engañar a los desarrolladores e instalar sus paquetes maliciosos.
– Los paquetes maliciosos están diseñados para robar información sensible, desactivar medidas de seguridad y descargar cargas adicionales, otorgando en última instancia al atacante control sobre el sistema comprometido.
– El malware utiliza técnicas sofisticadas para evadir la detección, incluyendo disfrazarse como la legítima biblioteca «noblox.js» y ofuscar su código con caracteres chinos.
– Los atacantes manipulan el registro de Windows para asegurar la persistencia del malware en el sistema infectado.
– El malware se comunica con el servidor de comando y control de los atacantes a través de un webhook de Discord, lo que les permite reunir información sensible del sistema y desplegar herramientas de acceso remoto.
Preguntas y respuestas clave:
1. ¿Cuál es el objetivo principal de la campaña de malware?
– El objetivo principal de la campaña de malware es la plataforma Roblox, conocida por su amplia base de usuarios.
2. ¿Cuánto tiempo ha estado activa la campaña de malware?
– La campaña de malware ha estado activa durante más de un año.
3. ¿Qué técnicas utilizan los atacantes para engañar a los desarrolladores e instalar sus paquetes maliciosos?
– Los atacantes utilizan técnicas como brandjacking, combosquatting y starjacking para crear nombres de paquetes que se asemejan a extensiones legítimas de la biblioteca «noblox.js».
4. ¿Cómo asegura el malware su persistencia en los sistemas infectados?
– El malware manipula el registro de Windows para ejecutarse cada vez que se abre la aplicación de Configuración de Windows, asegurando su supervivencia en el sistema infectado.
Retos o controversias clave:
– Un desafío clave es la presencia continua de la infraestructura del atacante, que incluye un repositorio activo de GitHub, lo que indica el potencial para una mayor distribución de malware a través de paquetes desprevenidos.
Ventajas:
– El artículo proporciona conciencia sobre la campaña de malware en curso que ataca a desarrolladores de Roblox a través de paquetes de npm.
– Destaca la importancia de ejercer precaución y revisar minuciosamente los paquetes antes de incorporarlos a proyectos para proteger a desarrolladores y usuarios de ataques en la cadena de suministro.
Desventajas:
– El artículo no proporciona información específica sobre el impacto o las consecuencias de la campaña de malware en los desarrolladores de Roblox o en la plataforma Roblox.
Enlace sugerido relacionado:
npm – Sitio web oficial de npm, el administrador de paquetes para JavaScript.