موج حملات جدید به توسعه‌دهندگان Roblox حمله کرده است

by John Nowacky
in News
on 2 سپتامبر 2024

New Wave of Attacks Target Roblox Developers

هکرها دست به حمله‌های جدیدی زده‌اند که هدف از آن، تخریب سیستم‌های توسعه‌دهندگان Roblox با استفاده از بسته‌های npm فریبنده است. این حوادث اخیر نشان می‌دهند که چگونه عوامل تهدید ثقت سازمان‌ها را مورد سوءاستفاده قرار داده و برای توزیع نرم‌افزارهای مخرب از اکوسیستم متن‌باز بهره می‌برند.

در یک گزارش فنی، پژوهشگر Checkmarx به نام یهودا گلب اعلام کرد که حمله‌کنندگان تعداد زیادی بسته ایجاد کرده‌اند که به طور تقلبی کتابخانه ‘noblox.js’ را تقلید می‌کنند. این بسته‌ها برای دزدیدن داده‌های حساس و تخریب سیستم‌ها طراحی شده‌اند. گلب هشدار داد که حمله‌کنندگان از تکنیک‌هایی مانند brandjacking، combosquatting و starjacking استفاده کرده‌اند تا یک رویه قانع‌کننده از اعتبار پایدار را ایجاد کنند.

این کمپین به روشنی آمد وقتی که ReversingLabs ابتدا وجود آن را در اوت 2023 ثبت کرد. به سرعت مشخص شد که این کمپین تکرار یک حمله مشابه است که دو سال قبل، در اکتبر 2021 رخ داد، و در آن یک برنامه دزدانه به نام لونا توکن گریبر پخش شده بود.

در طول امسال، دو بسته آلوده دیگر به نام noblox.js-proxy-server و noblox-ts شناسایی شدند. این بسته‌ها کتابخانه پرطرفدار Node.js را جعل کرده و نرم‌افزارهای دزدانه‌گر و تروجان دسترسی از راه دوری به نام Quasar RAT ارائه دادند.

برای ادامه یافتن به آن بدتر شد، حمله‌کنندگان از starjacking نیز استفاده کرده‌اند، تکنیکی که در آن بسته‌های تقلبی زیر نام مخزن واقعی noblox.js لیست شده‌اند و به این ترتیب اعتبار بیشتری برای هدف مخرب خود ایجاد کرده‌اند.

آخرین نسخه از این حمله شامل تعبیه کد مخرب در بسته‌ها می‌شود که به عنوان درگاه‌هایی برای ارائه بارهای اضافی میزبانی شده در یک مخزن GitHub عمل می‌کنند. همزمان، آن‌ها Token‌های Discord را دزدیده، فهرست از مستثنیات ضدویروس Microsoft Defender را تغییر داده تا از شناسایی خودداری کند و با تغییر تنظیمات ثبت ویندوز، در دسترسی پایدار قرار می‌دهند.

یک ویژگی مهم این نرم‌افزار، طبیعت پایداری آن است. با بهره‌گیری از برنامه تنظیمات ویندوز، نرم‌افزار می‌طمین‌کند که دسترسی کامل به سیستم آلوده را داشته باشد. بنابراین، هر زمان که یک کاربر تلاش می‌کند به برنامه تنظیمات ویندوز دسترسی پیدا کند، به طور ناخواسته نرم‌افزار را اجرا می‌کنند.

هدف نهایی این جانب‌های حمله، استقرار Quasar RAT است که عامل حمله را قادر به کنترل از راه دور بر روی سیستم تخریب‌شده می‌سازد. اطلاعات دزدیده‌شده سپس از طریق یک webhook Discord به سرور فرمان و کنترل حمله‌کننده ارسال می‌شود.

با وجود تلاش‌هایی برای حذف این بسته‌های مخرب، بسته‌های جدیدی به تازگی منتشر شده‌اند که نقش حیاتی مطالبه توجه توسعه‌دهندگان روبرو با این تهدید مداوم را تاکید می‌کند.

اگر این مقاله جالب بود، ما را در توییتر و لینکدین دنبال کنید تا اطلاعات اختصاصی بیشتری را ببینید.

The source of the article is from the blog smartphonemagazine.nl