کمپین نرم‌افزار مخرب جدید با هدف حمله به توسعه‌دهندگان رابلوکس از طریق بسته‌های ان پی ام (NPM)

یک کشف اخیر توسط محققان امنیتی در Checkmarx نمایانگر یک حمله مخرب مداوم است که از طریق بسته‌های npm مخرب به توسعه‌دهندگان Roblox حمله می‌کند. حمله کنندگان تحت عنوان کتابخانه محبوب “noblox.js” عمل کرده و بسته‌های بسیاری را منتشر کرده‌اند که برای دزدیدن اطلاعات حساس و تخریب سیستم‌ها طراحی شده است.

این حمله که بیش از یک سال است که فعال است، از اعتماد قرار گرفته در اکوسیستم منبع باز بهره می‌برد. هدف اصلی آن پلتفرم Roblox است که به خاطر کاربر پایه بزرگی بیش از ۷۰ میلیون کاربر فعال روزانه شناخته می‌شود.

با وجود تلاش‌های چندین باری برای برداشتن، بسته‌های جدید مخرب ادامه دارند و برخی از آن‌ها هنوز فعال در ثبت npm هستند. این استقامت نگران‌کننده است، زیرا احتمال حملات بیشتر را بالا می‌برد.

برای ایجاد حس شرعیت، حمله کنندگان از تکنیک‌های مختلفی استفاده کرده‌اند، از جمله brandjacking، combosquatting و starjacking. آن‌ها نام‌های بسته‌ها را طوری انتخاب می‌کنند که به گسترش‌های قانونی کتابخانه “noblox.js” شبیه باشد، مثل “noblox.js-async” و “noblox.js-thread”. با تقلب الگوهای نام‌گذاری کتابخانه‌های واقعی، توسعه‌دهندگان بی‌خبر بیشتر به نصب این بسته‌های مخرب می‌پردازند. علاوه بر این، حمله کنندگان بسته‌های خود را به آدرس مخزن GitHub کتابخانه قانونی متصل می‌کنند، که باعث افزایش سطح پرطرفداری و اعتماد بر این بسته‌ها شده وهویت زورآوری است.

بخشی از برنامه مخرب در بسته‌ها به طور دقیق مخفی هستند، با اینکه حمله کنندگان ساختار کتابخانه قانونی “noblox.js” را تکرار می‌کنند. با این حال، آن‌ها کد مخرب خود را در داخل فایل “postinstall.js” اضافه می‌کنند و آن را به‌طور شدید پنهان کرده و حتی از حروف چینی برای بازداری تطبیق استفاده می‌کنند. این ترکیب تکنیک‌ها یک رخنه قانع‌کننده را ایجاد می‌کند و احتمال نصب و اجرای ناخواسته نرم‌افزار مخرب را افزایش می‌دهد.

با نصب، مالور از هوک “postinstall” npm استفاده می‌کند که برای فرآیندهای نصب معتبر طراحی شده است و آن را به دروازه اجرای مالور تبدیل می‌کند. کد توکن‌های اثبات هویت Discord را دزدیده، تدابیر امنیتی مانند Malwarebytes و Windows Defender را غیرفعال می‌کند و بارهای اضافی را دانلود می‌کند.

همچنین مالور از یک تکنیک پایدار پیشرفته با تلاش در اختیار داشتن مقصور ثبت ویندوز استفاده می‌کند تا هر باری که برنامه تنظیمات ویندوز باز می‌شود، خود را اجرا کند و برای زنده ماندن در سیستم آلوده اطمینان حاصل کند. اطلاعات سیستم حساس را جمع‌آوری می‌کند و آنها را از طریق webhook Discord به سرور کنترل و کنترل توسط حمله کنندگان ارسال می‌کند. ضربه نهایی با راه‌اندازی QuasarRAT، یک ابزار دسترسی از راه دور که به حمله کننده کنترل جامع را بر روی سیستم آلوده می‌دهد، پایان می‌یابد.

حضور مستمر زیرساخت حمله کننده، به‌ویژه یک مخزن GitHub فعال، نشان‌دهنده این است که توزیع مالور بیشتری از طریق بسته‌های بی‌خبر ممکن است روی دهد.

توسعه‌دهندگان، به ویژه کسانی که با بسته‌هایی که شبیه کتابخانه‌های محبوب ماننده “noblox.js” هستند کار می‌کنند، توصیه می‌شوند که احتیاط را موازی کنند. بررسی دقیق بسته‌ها قبل از گنجاندن آن‌ها در پروژه‌ها برای محافظت از توسعه‌دهندگان و کاربران از حملات پیچیده زنجیره تامین مانند این بسیار مهم است.

همچنین مقاله به آگاهی از حمله مخرب مداوم به توسعه دهندگان Roblox از طریق بسته‌های npm می‌پردازد.
– اهمیت این مقاله
– ذکر این موضوع که توسعه‌دهندگان باید محتاطانه عمل کنند و بسته‌ها را به صورت دقیق برای گنجاندن در پروژه‌ها بررسی کنند تا از حملات زنجیره تامین محافظت کرده‌اند

– این مقاله اطلاعات خاصی در مورد تاثیر یا پیامدهای حمله مالوری بر توسعه‌دهندگان Roblox یا پلتفرم Roblox ارائه نمی‌دهد.