Hacker starten eine neue Angriffswelle, die darauf abzielt, die Systeme von Roblox-Entwicklern zu kompromittieren, indem sie betrügerische npm-Pakete verwenden. Dieser jüngste Vorfall verdeutlicht erneut, wie Bedrohungsakteure das Vertrauen in das Open-Source-Ökosystem ausnutzen, um Malware zu verbreiten.
In einem technischen Bericht enthüllte der Forscher von Checkmarx, Yehuda Gelb, dass die Angreifer zahlreiche Pakete erstellt haben, die die weit verbreitete ’noblox.js‘-Bibliothek imitieren. Diese Pakete wurden speziell entwickelt, um sensible Daten zu stehlen und Systeme zu kompromittieren. Gelb warnte davor, dass die Angreifer Techniken wie Brandjacking, Combosquatting und Starjacking genutzt haben, um eine überzeugende Fassade der Legitimität zu erschaffen.
Die Kampagne kam ans Licht, als ReversingLabs im August 2023 erstmals ihre Existenz dokumentierte. Es wurde schnell entdeckt, dass es sich um eine Wiederholung eines ähnlichen Angriffs handelte, der zwei Jahre zuvor im Oktober 2021 stattfand und die Verbreitung eines Stealers namens Luna Token Grabber beinhaltete.
Im Laufe dieses Jahres wurden zwei zusätzliche bösartige Pakete identifiziert, die als noblox.js-Proxy-Server und noblox-ts benannt wurden. Diese Pakete gaben sich als die beliebte Node.js-Bibliothek aus und lieferten Stealer-Malware sowie einen Remotezugriffstrojaner namens Quasar RAT.
Um die Dinge noch schlimmer zu machen, haben die Angreifer auch Starjacking eingesetzt, eine Technik, bei der die betrügerischen Pakete unter dem tatsächlichen noblox.js-Repository aufgelistet werden, was ihrer bösartigen Absicht weitere Glaubwürdigkeit verleiht.
Die neueste Version dieses Angriffs beinhaltet die Einbettung von bösartigem Code in die Pakete, die als Gateways für die Bereitstellung zusätzlicher Payloads fungieren, die auf einem GitHub-Repository gehostet sind. Gleichzeitig stehlen sie Discord-Tokens, ändern die Ausschlussliste des Microsoft Defender-Antivirenprogramms, um die Erkennung zu vermeiden, und etablieren Persistenz, indem sie die Windows-Registrierungseinstellungen ändern.
Ein bemerkenswertes Merkmal dieser Malware ist ihre anhaltende Natur. Durch die Ausnutzung der Windows-Einstellungen-App stellt die Malware sicher, dass ein dauerhafter Zugriff auf das infizierte System gewährleistet ist. Daher führt jedes Mal, wenn ein Benutzer versucht, auf die Windows-Einstellungen-App zuzugreifen, unwissentlich die Ausführung der Malware aus.
Das ultimative Ziel dieser Angriffskette besteht darin, den Quasar RAT bereitzustellen, der dem Angreifer die Fernsteuerung über das kompromittierte System gewährt. Die gestohlenen Informationen werden dann über einen Discord-Webhook an den Befehls- und Kontrollserver des Angreifers gesendet.
Trotz Bemühungen, diese bösartigen Pakete zu entfernen, werden weiterhin neue veröffentlicht, was die Wichtigkeit betont, dass Entwickler wachsam gegenüber dieser anhaltenden Bedrohung bleiben.
Wenn Sie diesen Artikel interessant fanden, folgen Sie uns auf Twitter und LinkedIn für weitere exklusive Inhalte.
Zusätzliche Fakten:
– Roblox ist eine beliebte Online-Plattform, auf der Benutzer Spiele erstellen und spielen können.
– Die ’noblox.js‘-Bibliothek wird von Roblox-Entwicklern weit verbreitet genutzt und bietet APIs und Tools zur Interaktion mit der Roblox-Plattform.
– npm ist ein Paketmanager für JavaScript und wird von Entwicklern häufig verwendet, um Abhängigkeiten in ihren Projekten zu installieren und zu verwalten.
– Brandjacking ist eine Technik, bei der Angreifer betrügerische Pakete erstellen, die beliebte Bibliotheken oder Pakete nachahmen, um Benutzer dazu zu bringen, sie herunterzuladen und zu installieren.
– Combosquatting ist eine Technik, bei der Angreifer Domainnamen registrieren, die denen legitimer Namen ähnlich sind, um Benutzer dazu zu bringen, ihre bösartigen Websites zu besuchen.
– Der Begriff „Starjacking“ bezieht sich auf die Praxis, bei der Angreifer bösartige Pakete unter dem Namen eines legitimen Pakets in einem Code-Repository wie npm hochladen.
Schlüsselfragen:
1. Wie zielen Hacker auf die Systeme von Roblox-Entwicklern ab?
– Hacker erstellen betrügerische npm-Pakete, die die weit verbreitete ’noblox.js‘-Bibliothek imitieren, um sensible Daten zu stehlen und Systeme zu kompromittieren.
2. Welche Techniken verwenden die Angreifer, um Benutzer zu täuschen?
– Die Angreifer verwenden Techniken wie Brandjacking, Combosquatting und Starjacking, um eine überzeugende Fassade der Legitimität zu erschaffen und Malware zu verteilen.
3. Wann begann diese Angriffswelle?
– Die Kampagne wurde erstmals im August 2023 dokumentiert, ist jedoch eine Wiederholung eines ähnlichen Angriffs, der im Oktober 2021 stattfand.
Herausforderungen/Kontroversen:
– Eine wesentliche Herausforderung ist die fortlaufende Erstellung und Verbreitung neuer bösartiger Pakete, trotz Bemühungen, diese zu entfernen. Dies unterstreicht die Notwendigkeit für Entwickler, wachsam zu bleiben und Vorkehrungen zu treffen, um ihre Systeme zu schützen.
Vorteile:
– Indem Entwickler über diese Angriffe und deren Techniken informiert sind, können sie Maßnahmen ergreifen, um ihre Systeme und Daten vor Kompromittierung zu schützen.
– Der technische Bericht des Forschers von Checkmarx, Yehuda Gelb, liefert wertvolle Einblicke in die von den Angreifern in dieser speziellen Kampagne verwendeten Taktiken.
Nachteile:
– Diese Angriffe können dazu führen, dass sensible Daten gestohlen und Systeme kompromittiert werden, was potenziell finanzielle und reputationsbezogene Schäden für Einzelpersonen und Organisationen verursachen könnte.
– Die fortlaufende Erstellung neuer bösartiger Pakete stellt eine Herausforderung in Bezug auf zeitnahe Erkennung und Abhilfemaßnahmen dar.
Verwandte Links:
– Checkmarx Twitter
– Checkmarx LinkedIn