Ny bølge af angreb retter sig mod Roblox-udviklere

2 september 2024
New Wave of Attacks Target Roblox Developers

Hackere lancerer en ny bølge af angreb rettet mod at kompromittere Roblox-udvikleres systemer ved hjælp af falske npm-pakker. Dette seneste incident fremhæver endnu engang, hvordan trusselsaktører udnytter tillid til det åbne open-source-økosystem til at distribuere malware.

I en teknisk rapport afslørede Checkmarx-forskeren Yehuda Gelb, at angriberne har oprettet adskillige pakker, der efterligner den meget anvendte ‘noblox.js’-bibliotek. Disse pakker er specifikt designet til at stjæle følsomme data og kompromittere systemer. Gelb advarede om, at angriberne har benyttet teknikker som brandjacking, combosquatting og starjacking for at skabe en overbevisende facade af legitimitet.

Kampagnen kom for dagens lys, da ReversingLabs dokumenterede dens eksistens første gang i august 2023. Det blev snart opdaget, at denne kampagne var en gentagelse af et lignende angreb, der fandt sted to år tidligere i oktober 2021 og involverede distributionen af en stjæler kaldet Luna Token Grabber.

I løbet af i år blev der identificeret to yderligere skadelige pakker, kaldet noblox.js-proxy-server og noblox-ts. Disse pakker udgav sig for at være det populære Node.js-bibliotek og leverede stjæler-malware og en fjernadgangstrojansk kaldet Quasar RAT.

For at gøre tingene værre har angriberne også benyttet starjacking, en teknik hvor de falske pakker er opført under den faktiske noblox.js-repositorie, hvilket tilføjer yderligere troværdighed til deres ondsindede hensigter.

Den seneste iteration af dette angreb involverer indlejring af ondsindet kode i pakkerne, der fungerer som gateways til at levere yderligere belastninger, der er hostet på et GitHub-repositorium. Samtidig stjæler de Discord-tokens, ændrer Microsoft Defender Antivirus-undtagelseslisten for at undgå opdagelse og etablerer vedvarende tilstedeværelse ved at ændre Windows-registreringsdatabaseindstillinger.

En bemærkelsesværdig funktion ved dette malware er dets vedholdende natur. Ved at udnytte Windows Settings-appen sikrer malwaren fortsat adgang til det inficerede system. Som et resultat udfører brugerne ubevidst malwaren i stedet, når de forsøger at få adgang til Windows Settings-appen.

Det endelige mål med denne angrebskæde er at udrulle Quasar RAT, så angriberen får fjernadgang til det kompromitterede system. De stjålne oplysninger sendes derefter til angriberens kommando- og kontrolserver via en Discord webhook.

Trods bestræbelser på at nedlægge disse skadelige pakker, fortsætter nye med at blive offentliggjort, hvilket understreger vigtigheden af, at udviklere forbliver opmærksomme på denne vedvarende trussel.

Hvis du fandt denne artikel interessant, så følg os på Twitter og LinkedIn for mere eksklusivt indhold.

Yderligere Fakta:
– Roblox er en populær online platform, hvor brugere kan skabe og spille spil.
– ‘noblox.js’ biblioteket er et meget anvendt bibliotek af Roblox-udviklere, som giver API’er og værktøjer til at interagere med Roblox-platformen.
– npm er en pakkehåndterer for JavaScript og bliver ofte brugt af udviklere til at installere og administrere afhængigheder i deres projekter.
– Brandjacking er en teknik, hvor angribere opretter falske pakker, der efterligner populære biblioteker eller pakker for at narre brugere til at downloade og installere dem.
– Combosquatting er en teknik, hvor angribere registrerer domænenavne, der ligner legitime for at narre brugere til at besøge deres ondsindede hjemmesider.
– Udtrykket “starjacking” refererer til praksis, hvor angribere uploader skadelige pakker under navnet på et legitimt pakke i en kode-repositorium, såsom npm.

Centrale Spørgsmål:
1. Hvordan retter hackere sig mod Roblox-udvikleres systemer?
– Hackere opretter falske npm-pakker, der efterligner det meget anvendte ‘noblox.js’-bibliotek for at stjæle følsomme data og kompromittere systemer.

2. Hvilke teknikker bruger angriberne for at narre brugere?
– Angriberne bruger teknikker som brandjacking, combosquatting og starjacking for at skabe en overbevisende facade af legitimitet og distribuere malware.

3. Hvornår begyndte denne bølge af angreb?
– Kampagnen blev først dokumenteret i august 2023, men det er en gentagelse af et lignende angreb, der fandt sted i oktober 2021.

Don't Miss

A Surprising Twist: Forza Horizon 5 Potentially Coming to PlayStation 5

En Overraskende Vend: Forza Horizon 5 Potentielt Kommer til PlayStation 5

I en chokerende vending af begivenheder er der opstået rygter
Stock Shock: Why Web Travel Group is Silent on Crucial Results

Aktiechok: Hvorfor Web Travel Group er tavse om afgørende resultater

Markedsobservatører blev efterladt målløse onsdag, da handelen med Web Travel