Νέα Επίθεση Κακόβουλου Λογισμικού Στοχεύει Στους Προγραμματιστές του Roblox Μέσω Πακέτων NPM

3 Σεπτεμβρίου 2024
New Malware Campaign Targets Roblox Developers Through NPM Packages

Μια πρόσφατη ανακάλυψη από ερευνητές ασφάλειας στην Checkmarx αποκάλυψε μια συνεχιζόμενη καμπάνια κακόβουλου λογισμικού που στοχεύει στους προγραμματιστές του Roblox μέσω κακόβουλων πακέτων npm. Οι επιτιθέμενοι χρησιμοποιούν τη διατύπωση της δημοφιλούς βιβλιοθήκης “noblox.js” και έχουν δημοσιεύσει πολλά πακέτα σχεδιασμένα για να κλέψουν ευαίσθητες πληροφορίες και να διακινδυνεύσουν συστήματα.

Η καμπάνια, η οποία είναι ενεργή εδώ και πάνω από έναν χρόνο, εκμεταλλεύεται την εμπιστοσύνη που υπάρχει στο οικοσύστημα του λογισμικού ανοικτού κώδικα. Βασικός του στόχος είναι η πλατφόρμα του Roblox, γνωστή για τη μαζική της κοινότητα με πάνω από 70 εκατομμύρια καθημερινά ενεργούς χρήστες.

Παρά τις αρκετές αποσπάσεις, νέα κακόβουλα πακέτα συνεχίζουν να εμφανίζονται, με μερικά ακόμη να είναι ενεργά στον κατάλογο npm. Αυτή η επιμονή είναι ανησυχητική, καθώς αυξάνει τις πιθανότητες για περαιτέρω επιθέσεις.

Για να δημιουργήσουν μια εικόνα νομιμότητας, οι επιτιθέμενοι έχουν χρησιμοποιήσει διάφορες τεχνικές, συμπεριλαμβανομένου του brandjacking, combosquatting και starjacking. Δημιουργούν ονόματα πακέτων που μοιάζουν με νόμιμες επεκτάσεις της βιβλιοθήκης “noblox.js”, όπως το “noblox.js-async” και το “noblox.js-thread.” Αντιγράφοντας τα μοτίβα ονοματολογίας γνήσιων βιβλιοθηκών, οι αφελείς προγραμματιστές είναι πιο πιθανό να εγκαταστήσουν αυτά τα κακόβουλα πακέτα. Επιπροσθέτως, οι επιτιθέμενοι συνδέουν τα πακέτα τους με τη διεύθυνση URL αποθετηρίου του GitHub της γνήσιας βιβλιοθήκης, εντείνοντας ψευδώς τη δημοτικότητα και τη φιλικότητα των πακέτων τους.

Το κακόβουλο λογισμικό μέσα στα πακέτα είναι προσεκτικά κρυμμένο, με τους επιτιθέμενους να αναπτύσσουν τη δομή της γνήσιας βιβλιοθήκης “noblox.js”. Ωστόσο, εισάγουν το κακόβουλο κώδικα τους μέσα στο αρχείο “postinstall.js”, κρυπτογραφώντας τον εντελώς, ακόμη και χρησιμοποιώντας κινεζικούς χαρακτήρες για να αποτρέψουν την ανάλυση. Αυτός ο συνδυασμός τεχνικών δημιουργεί μια πειστική όψη, αυξάνοντας τις πιθανότητες για την εγκατάσταση και εκτέλεση του κακόβουλου λογισμικού από τους προγραμματιστές κατά λάθος.

Μόλις εγκατασταθεί, το κακόβουλο λογισμικό εκμεταλλεύεται το “postinstall” hook του npm, το οποίο προορίζεται για τη γνήσια διαδικασία εγκατάστασης, μετατρέποντάς το σε πύλη για την εκτέλεση του κακόβουλου λογισμικού. Ο κώδικας κλέβει τα ταυτοποιητικά ελέγχου του Discord, απενεργοποιεί μέτρα ασφαλείας όπως τα Malwarebytes και το Windows Defender, και κατεβάζει επιπλέον φορτία.

Το κακόβουλο λογισμικό χρησιμοποιεί επίσης μια προηγμένη τεχνική επιμονής, με τη χειραγώγηση του μητρώου των Windows για να εκτελέσει τον εαυτό του κάθε φορά που ανοίγεται η εφαρμογή Ρυθμίσεων των Windows, εξασφαλίζοντας την επιβίωσή του στο μολυσμένο σύστημα. Συγκεντρώνει ευαίσθητες πληροφορίες συστήματος και τις στέλνει στον εξυπηρετητή εντολών και ελέγχου των επιτιθέμενων μέσω ενός Discord webhook. Η τελική επίθεση έρχεται με την ανάπτυξη του QuasarRAT, ενός εργαλείου απομακρυσμένης πρόσβασης που χαρίζει στον επιτιθέμενο πλήρη έλεγχο επί του μολυσμένου συστήματος.

Η συνεχιζόμενη παρουσία της υποδομής του επιτιθέμενου, ειδικότερα ενός ενεργού αποθετηρίου στο GitHub, είναι ένα ανησυχητικό σημάδι ότι μπορεί να λαμβάνει χώρα περαιτέρω διάδοση κακόβουλου λογισμικού μέσω αθώων πακέτων.

Οι προγραμματιστές, ιδιαίτερα αυτοί που εργάζονται με πακέτα που μοιάζουν με δημοφιλείς βιβλιοθήκες όπως το “noblox.js,” συνιστούνται να είναι προσεκτικοί. Η λεπτομερής αξιολόγηση των πακέτων πριν τα ενσωματώσουν στα έργα τους είναι κρίσιμη για την προστασία των προγραμματιστών και των χρηστών από προηγμένες επιθέσεις στην αλυσίδα εφοδιασμού όπως αυτή.

Επιπλέον πληροφορίες:
– Οι ερευνητές της Checkmarx ανακάλυψαν ότι η καμπάνια κακόβουλου λογισμικού είναι ενεργή για πάνω από έναν χρόνο, υποδηλώνοντας ότι οι επιτιθέμενοι είναι επιμόνοι και συνεχίζουν να προσαρμόζουν την τακτική τους για να αποφύγουν την ανίχνευση.
– Η πλατφόρμα Roblox είναι κυρίως στόχος λόγω της μεγάλης κοινότητάς της, καθιστώντας την ελκυστικό στόχο για επιτιθέμενους που επιδιώκουν να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες και να διακινδυνεύσουν συστήματα.
– Οι επιτιθέμενοι χρησιμοποιούν διάφορες τεχνικές όπως brandjacking, combosquatting και starjacking για να εξαπατήσουν τους προγραμματιστές να εγκαταστήσουν τα κακόβουλα πακέτα τους.
– Τα κακόβουλα πακέτα σχεδιάστηκαν για να κλέψουν ευαίσθητες πληροφορίες, να απενεργοποιούν μέτρα ασφαλείας και να κατεβάζουν επιπλέον φορτία, θέτοντας τελικά τον επιτιθέμενο σε έλεγχο του μολυσμένου συστήματος.
– Ο κακόβουλος κώδικας χρησιμοποιεί προηγμένες τεχνικές για να αποφύγει την ανίχνευση, συμπεριλαμβανομένης της μεταμφίασης ως της πραγματικής βιβλιοθήκης “noblox.js” και της κρυπτογράφησης του κώδικά του με κινεζικούς χαρακτήρες.
– Οι επιτιθέμενοι χειραγωγούν το μητρώο των Windows για να διασφαλίσουν την επιβίωση του κακόβουλου λογισμικού στο μολυσμένο σύστημα.
– Το κακόβουλο λογισμικό επικοινωνεί μέσω ενός Discord webhook με τον εξυπηρετητή εντολών και ελέγχου των επιτιθέμενων, επιτ

Don't Miss

Stock Market Surges as Nvidia Earnings Awaited

Η Αγορά Χρηματιστηρίου Αναπηδά καθώς Αναμένονται Τα Κέρδη της Nvidia

Η αγορά μετοχών είδε μια ακόμη ημέρα ρεκόρ καθώς οι
Stephen A. Smith wywołuje śmiech i ponownie rozbudza nostalgię w społeczności Pokemonów

Η Ασυνήθιστη Συνάντηση του Στίβεν Α. Σμιθ με τους Κλασικούς Εκκινητές Pokémon

Το πρόσφατο ιών βίντεο με τον Stephen A. Smith έχει