Хакерите започват нов вълната атаки с цел компрометиране на системите на разработчиците на Roblox, като използват измамни npm пакети. Този последен инцидент отново подчертава как участниците в заплахата експлоатират доверието в отворения софтуерен екосистем, за да разпространяват зловреден софтуер.
В технически доклад, изследователят от Checkmarx, Иеуда Гелб, разкри, че хакерите са създали множество пакети, които имитират широкоизползваната библиотека ‘noblox.js’. Тези пакети са специално създадени, за да откраднат чувствителни данни и компрометират системите. Гелб предупреди, че хакерите са използвали техники като бранджакинг, комбоскуатинг и старджакинг, за да създадат убедителна фасада на легитимност.
Кампанията излезе наяве, когато ReversingLabs първоначално документира съществуването й през август 2023 г. Скоро след това се откри, че тази кампания е повторение на подобна атака, която се случила две години по-рано, през октомври 2021 г., включваща разпространение на стийлър на име Luna Token Grabber.
През тази година бяха идентифицирани още два зловредни пакета, наречени noblox.js-proxy-server и noblox-ts. Тези пакети имитираха популярната библиотека на Node.js и разпространяваха зловреден софтуер за откражение и далечен достъпен троянец, наречен Quasar RAT.
За да усилят ситуацията, хакерите са използвали и старджакинг, техника, при която измамните пакети се изброяват под истинския хранилище на noblox.js, добавяйки допълнителна легитимност на техния зловреден намерения.
Последната итерация на тази атака включва вграждане на зловреден код в пакетите, които служат като портали за сервиране на допълнителни носители на GitHub хранилище. Едновременно това, те крадат Discord токени, променят списъка с изключения на Microsoft Defender Antivirus, за да избегнат откриване, и установяват персистентност, като променят настройките на регистъра на Windows.
Една характеристика на този вредоносен софтуер е неговата устойчива природа. Чрез експлоатиране на приложението Windows Settings, зловредният софтуер гарантира устойчив достъп до заразената система. В резултат, всеки път, когато потребител опитва да достъпи приложението Windows Settings, те неволно изпълняват зловредният софтуер вместо това.
Крайната цел на тази верига от атаки е да разпространи Quasar RAT, като предостави на хакера далечно управление върху компрометираната система. Крадената информация се изпраща след това към сървъра за контрол и командване на хакера чрез Discord уебхук.
Въпреки усилията за сваляне на тези зловредни пакети, нови продължават да бъдат публикувани, подчертавайки важността на разработчиците да останат бдителни срещу тази продължаваща заплаха.
Ако този материал ви е бил интересен, последвайте ни в Twitter и LinkedIn за още ексклузивно съдържание.
Допълнителни факти:
– Roblox е популярна онлайн платформа, където потребителите могат да създават и играят игри.
– Библиотеката ‘noblox.js’ е широкоизползвана библиотека от разработчиците на Roblox, която предоставя API и инструменти за работа с платформата на Roblox.
– npm е управител на пакети за JavaScript и често се използва от разработчиците за инсталиране и управление на зависимости в техните проекти.
– Бранджакинг е техника, при която хакери създават измамни пакети, които имитират популярни библиотеки или пакети, за да заблудят потребителите да ги изтеглят и инсталират.
– Комбоскуатинг е техника, при която хакери регистрират домейн имена, които са подобни на легитимни, с цел да заблудят потребителите да посетят техните зловредни уебсайтове.
– Терминът „старджакинг“ се отнася до практиката на хакери да качват зловредни пакети под името на легитимен пакет в хранилище за код, като npm.
Ключови въпроси:
1. Как хакерите насочват системите на разработчиците на Roblox?
– Хакерите създават измамни npm пакети, които имитират широкоизползваната библиотека ‘noblox.js’ с цел да откраднат чувствителни данни и да компрометират системите.
2. Какви техники използват хакерите, за да заблудят потребителите?
– Хакерите използват техники като бранджакинг, комбоскуатинг и старджакинг, за да създадат убедителна фасада на легитимност и за да разпространят зловреден софтуер.
3. Кога започна тази вълна от атаки?
– Кампанията беше документирана за първи път през август 2023 г., но това е повторение на подобна атака, която се случила през октомври 2021 г.
Ключови предизвикателства/контроверзии:
– Един от основните предизвикателства е постоянното създаване и разпространяване на нови зловредни пакети въпреки усилията за тяхното сваляне. Това подчертава необходимостта разработчиците да останат бдителни и да предприемат мерки за защита на своите системи.
Предимства:
– Благодарение на осведомеността за тези атаки и техниките им, разработчиците могат да предприемат стъпки за защита на своите системи и данни от компрометиране.
– Техническият доклад на изследователя от Checkmarx, Иеуда Гелб, предоставя ценни допълнителни познания за използваните тактики от хакерите в тази конкретна кампания.
Недостатъци:
– Тези атаки могат да доведат до открадване на чувствителни данни и компрометиране на системите, което потенциално може да причини финансови и репутационни вреди на физически лица и организации.
– Постоянното създаване на нови зловредни пакети представлява предизвикателство по отношение на своевременното откриване и намаляване на вредите.
Свързани връзки:
– Checkmarx Twitter
– Checkmarx LinkedIn