John Nowacky
Hackeři zahajují novou vlnu útoků zaměřených na kompromitaci systémů vývojářů Robloxu pomocí podvodných npm balíčků. Tento nejnovější incident opět zdůrazňuje, jak aktéři hrozeb využívají důvěru v ekosystému open-source k distribuci malwaru.
V technické zprávě od výzkumníka Checkmarx Yehudy Gelba bylo zjištěno, že útočníci vytvořili mnoho balíčků napodobujících široce používanou knihovnu ‚noblox.js‘. Tyto balíčky byly speciálně navrženy k odcizení citlivých dat a kompromitaci systémů. Gelb varoval, že útočníci využili techniky jako brandjacking, combosquatting a starjacking k vytvoření přesvědčivé fasády legitimnosti.
Kampaň přišla na světlo světa, když ReversingLabs poprvé zdokumentovala její existenci v srpnu 2023. Brzy se zjistilo, že tato kampaň byla opakováním podobného útoku, ke kterému došlo o dva roky dříve, v říjnu 2021, který zahrnoval distribuci stealera nazvaného Luna Token Grabber.
Během letošního roku byly identifikovány další dva zákeřné balíčky s názvy noblox.js-proxy-server a noblox-ts. Tyto balíčky napodobovaly populární knihovnu Node.js a distribuovaly stealery a remote access trojan s názvem Quasar RAT.
Chcete-li situaci ještě zhoršit, útočníci také využili starjacking, techniku, kdy jsou podvodné balíčky uvedeny pod skutečným repozitářem noblox.js, což dodává jejich zlomyslnému záměru další důvěryhodnost.
Nejnovější varianta tohoto útoku zahrnuje vložení zákeřného kódu do balíčků, které slouží jako brány pro distribuci dalších zátěží hostovaných na repozitáři GitHub. Zároveň krade Discord tokeny, upravuje seznam vyloučení antiviru Microsoft Defender k vyhnutí se detekci a vytváří trvalou přítomnost tím, že mění nastavení registru Windows.
Zajímavým rysem tohoto malwaru je jeho trvalá povaha. Využitím aplikace Nastavení systému Windows si malware zajišťuje stálý přístup k infikovanému systému. V důsledku toho, kdykoli uživatel pokusí se přistoupit k aplikaci Nastavení systému Windows, nevědomky spustí malware.
Osnovním cílem tohoto řetězce útoku je nasazení Quasar RAT, čímž dává útočníkovi vzdálenou kontrolu nad kompromitovaným systémem. Ukradené informace jsou poté odeslány na server řízený přikazy útočníka pomocí Discord webhooku.
Navzdory úsilí o stažení těchto zákeřných balíčků se stále objevují nové, což zdůrazňuje důležitost toho, aby se vývojáři nadále střežili proti této trvající hrozbě.
Pokud jste tento článek odborně zajímavý, sledujte nás na Twitteru a LinkedIn pro více exkluzivního obsahu.
