Arthur Herring
Nedávný objev bezpečnostními výzkumníky z Checkmarx odhalil probíhající kampaň škodlivého softwaru, která cílí na vývojáře Robloxu prostřednictvím škodlivých npm balíčků. Útočníci se vydávají za populární knihovnu „noblox.js“ a zveřejnili řadu balíčků navržených k odcizení citlivých informací a kompromitaci systému.
Kampaň, která je aktivní již přes rok, zneužívá důvěru v otevřený ekosystém. Jejím hlavním cílem je platforma Roblox, známá svou masivní uživatelskou základnou přes 70 milionů denně aktivních uživatelů.
Přestože bylo provedeno několik odstranění, nové škodlivé balíčky stále vznikají a některé zůstávají aktivní na registru npm. Toto trvalé přetrvávání je znepokojivé, protože zvyšuje potenciál pro další útoky.
Pro vytvoření iluze legitimacy útočníci využívají různé techniky, včetně brandjackingu, combosquattingu a starjackingu. Vytvářejí názvy balíčků, které připomínají legitimní rozšíření knihovny „noblox.js,“ jako například „noblox.js-async“ a „noblox.js-thread.“ Mimikováním názvosloví skutečných knihoven jsou nenápadní vývojáři náchylnější ke stažení těchto škodlivých balíčků. Útočníci navíc propojují své balíčky s URL adresou repozitáře na GitHubu legitimní knihovny, falešně zvyšují popularitu a důvěryhodnost svých balíčků.
Malware uvnitř balíčků je pečlivě zamaskován, přičemž útočníci replikují strukturu legitimní knihovny „noblox.js.“ Avšak vkládají svůj škodlivý kód do souboru „postinstall.js,“ který velmi zastřešují, dokonce používají čínské znaky k odrazení analýzy. Tato kombinace technik vytváří přesvědčivou fasádu, zvyšující šance, že vývojáři nechtěně nainstalují a spustí škodlivý software.
Jakmile je nainstalován, malware zneužívá „postinstall“ udělovací hák npm, který je určen pro legitimní instalační procesy, přeměňuje ho na bránu pro spuštění malware. Kód odcizuje autentizační tokeny Discordu, deaktivuje bezpečnostní opatření jako Malwarebytes a Windows Defender, a stahuje další zátež.
Malware rovněž využívá sofistikovanou techniku trvalého uložení manipulací v registru Windows, aby se spustil pokaždé, když je otevřena aplikace Nastavení systému Windows, zajišťující tak svou přežití na napadeném systému. Sbírá citlivé informace o systému a odesílá je na server útočníků pomocí Discord webhooku. Finální úder přichází s nasazením QuasarRAT, nástroje pro vzdálený přístup, který dává útočníkovi komplexní kontrolu nad kompromitovaným systémem.
Stálá přítomnost infrastruktury útočníka, zejména aktivní repozitář na GitHubu, je znepokojujícím znakem, že další distribuce malware může probíhat prostřednictvím nevinných balíčků.
Vývojáři, zejména ti, kteří pracují s balíčky připomínajícími populární knihovny jako „noblox.js,“ jsou vyzváni k opatrnosti. Důkladné ověřování balíčků před jejich začleněním do projektů je zásadní pro ochranu vývojářů a uživatelů před sofistikovanými útoky prostřednictvím dodavatelského řetězce jako je tento.
Jak se útočníci stávají stále zběhlejšími v oblasti zneužívání důvěry v otevřeném ekosystému, je pro vývojáře nezbytné zůstat ostražitými a skeptickými.
