Uus laine rünnakute sihtmärgiks on Robloxi arendajad.

2 september 2024
New Wave of Attacks Target Roblox Developers

Häkkerid käivitavad värske rünnakulaine, mille eesmärk on olnud kahjustada Roblox arendajate süsteeme petturlike npm-pakettide abil. See viimane intsident rõhutab taas kord, kuidas ründajad kasutavad avatud lähtekoodiga ökosüsteemis usaldust pahavara levitamiseks.

Tehnilises aruandes paljastas Checkmarxi uurija Yehuda Gelb, et ründajad on loonud mitmeid pakette, mis järgivad paljude poolt kasutatavat ‘noblox.js’ teegi näidist. Need paketid on spetsiaalselt loodud tundlike andmete varastamiseks ja süsteemide ohustamiseks. Gelb hoiatas, et ründajad on kasutanud tehnikaid nagu brändivargus, kombinatsioonide vargus ja tähevargus, et luua veenvat legitiimsuse fassaadi.

Kampaania tuli avalikuks, kui ReversingLabs dokumenteeris selle esmakordselt 2023. aasta augustis. Kiiresti avastati, et see kampaania kordab sarnast rünnakut, mis leidis aset kaks aastat varem, 2021. aasta oktoobris, mil jaotati varastaja nimega Luna Token Grabber.

Käesoleva aasta jooksul tuvastati veel kaks kahjulikku paketti nimega noblox.js-proxy-server ja noblox-ts. Need paketid esinesid populaarse Node.js teegi võltsingutena ning tarnisid varastaja pahavara ja tagaukse troojalase nimega Quasar RAT.

Lisaks on ründajad kasutanud tähevargust, tehnikat, kus petturlikke pakette loetleti tegeliku noblox.js’i repositooriumi all, lisades sellega oma pahatahtlikule kavatsusele veelgi usutavust.

Selle rünnaku viimane iteratsioon hõlmab kahjuliku koodi sisestamist pakettidesse, mis toimivad lisapalade teenindamise väravatena, mida hostitakse GitHubi repositooriumis. Samal ajal varastatakse Discordi märgised, muudetakse Microsoft Defender Antivirus’e eraldamisnimekirja, et vältida avastamist, ja tugevdatakse püsivust, muutes Windowsi registri sätteid.

Selle pahavara üks märkimisväärseid omadusi on selle püsiv olemus. Windowsi seadete rakenduse ärakasutamise kaudu tagab pahavara sissetungitud süsteemidele jätkuva juurdepääsu. Tulemusena, kui kasutaja üritab Windowsi seadete rakendust kasutada, käivitub pilkamata pahavara selle asemel.

Selle rünnakurea lõppeesmärk on Quasar RAT’i paigutamine, andes ründajale kaugjuurdepääsu ohustatud süsteemile. Varastatud teave saadetakse seejärel ründaja juhtimis- ja kontrolliserverisse Discordi veebisideme kaudu.

Hoolimata jõupingutustest nende kahjulike pakettide eemaldamiseks, jätkatakse uute avaldamist, rõhutades arendajate tähelepanelikkuse tähtsust selle püsiva ohu vastu võitlemisel.

Kui leidsite selle artikli huvitava, jälgige meid Twitteris ja LinkedInis, et saada rohkem eksklusiivset sisu.

Täiendavad faktid:
– Roblox on populaarne veebipõhine platvorm, kus kasutajad saavad luua ja mänge mängida.
– ‘noblox.js’ teek on laialdaselt kasutatav teek Robloxi arendajate poolt, mis pakub liideseid ja tööriistu Robloxi platvormiga suhtlemiseks.
– npm on JavaScript-i pakihaldur ja arendajad kasutavad seda tavaliselt oma projektide sõltuvuste paigaldamiseks ja haldamiseks.
– Brändivargus on tehnikas, kus ründajad loovad petturlikke pakette, mis jäljendavad populaarseid teeki või pakette, et petta kasutajaid need alla laadima ja installima.
– Kombinatsioonide vargus on tehnikas, kus ründajad registreerivad domeeninimesid, mis sarnanevad legitiimsetele, et petta kasutajaid külastama nende pahatahtlikke veebisaite.
– “Tähevargus” viitab praktikale, kus ründajad laadivad pahatahtlikke pakette üles tõelise paketi nime alla koodirepositooriumisse, nagu npm-s.

Põhiarutelud:
1. Kuidas häkkerid ründavad Roblox arendajate süsteeme?
– Häkkerid loovad petturlikke npm-pakette, mis jäljendavad laialdaselt kasutatavat ‘noblox.js’ teeki, et varastada tundlikke andmeid ja ohustada süsteeme.

2. Milliseid tehnikaid ründajad petta kasutajaid kasutavad?
– Ründajad kasutavad tehnikaid nagu brändivargus, kombinatsioonide vargus ja tähevargus, et luua veenvat legitiimsuse fassaadi ja levitada pahavara.

3. Millal see rünnakulaine algas?
– Kampaania dokumenteeriti esmakordselt 2023. aasta augustis, kuid see on kordus sarnasest rünnakust, mis toimus 2021. aasta oktoobris.

Põhilised väljakutsed/ vaidlused:
– Üks peamisi väljakutseid on uute kahjulike pakettide jätkuv loomine ja levitamine hoolimata nende eemaldamiseks tehtud jõupingutustest. See rõhutab arendajate tähelepanelikkuse tähtsust ning vajadust võtta meetmeid süsteemide kaitsmiseks.

Eelised:
– Oma teadlikkusega nendest rünnakutest ja nende tehnikatest saavad arendajad võtta samme oma süsteemide ja andmete kaitsmiseks ohustamise eest.
– Checkmarxi uurija Yehuda Gelbi tehniline aruanne annab väärtuslikke teadmisi ründajate poolt selles konkreetse kampaanias kasutatud taktikatest.

Puudused:
– Need rünnakud võivad viia tundlike andmete varguseni ja süsteemide ohustamiseni, võimalikult põhjustada rahalise ja mainekahju üksikisikute ja organisatsioonide jaoks.
– Uute kahjulike pakettide pidev loomine seab väljakutseks nende õigeaegse avastamise ja leevendamise.

Seotud lingid:
Checkmarx Twitter
Checkmarx LinkedIn

Don't Miss

Black Myth: Wukong Xbox Launch Delayed for Optimization

Must Müüt: Wukongi Xboxi käivitamine edasi lükatud optimeerimiseks

Tugevalt oodatud mäng Black Myth: Wukong on alates selle varem
PlayStation Unveils New Line of Collectible Figures Inspired by Iconic Games

PlayStation avaldab uue kollektsioneeritavate kujukeste sarja, mis on inspireeritud ikoonilistest mängudest.

PlayStation on hiljuti teatanud uue, kaasahaarava kollektsiooni käivitamisest, mis koosneb