یک کشف اخیر توسط محققان امنیتی در Checkmarx نمایانگر یک حمله مخرب مداوم است که از طریق بستههای npm مخرب به توسعهدهندگان Roblox حمله میکند. حمله کنندگان تحت عنوان کتابخانه محبوب “noblox.js” عمل کرده و بستههای بسیاری را منتشر کردهاند که برای دزدیدن اطلاعات حساس و تخریب سیستمها طراحی شده است.
این حمله که بیش از یک سال است که فعال است، از اعتماد قرار گرفته در اکوسیستم منبع باز بهره میبرد. هدف اصلی آن پلتفرم Roblox است که به خاطر کاربر پایه بزرگی بیش از ۷۰ میلیون کاربر فعال روزانه شناخته میشود.
با وجود تلاشهای چندین باری برای برداشتن، بستههای جدید مخرب ادامه دارند و برخی از آنها هنوز فعال در ثبت npm هستند. این استقامت نگرانکننده است، زیرا احتمال حملات بیشتر را بالا میبرد.
برای ایجاد حس شرعیت، حمله کنندگان از تکنیکهای مختلفی استفاده کردهاند، از جمله brandjacking، combosquatting و starjacking. آنها نامهای بستهها را طوری انتخاب میکنند که به گسترشهای قانونی کتابخانه “noblox.js” شبیه باشد، مثل “noblox.js-async” و “noblox.js-thread”. با تقلب الگوهای نامگذاری کتابخانههای واقعی، توسعهدهندگان بیخبر بیشتر به نصب این بستههای مخرب میپردازند. علاوه بر این، حمله کنندگان بستههای خود را به آدرس مخزن GitHub کتابخانه قانونی متصل میکنند، که باعث افزایش سطح پرطرفداری و اعتماد بر این بستهها شده وهویت زورآوری است.
بخشی از برنامه مخرب در بستهها به طور دقیق مخفی هستند، با اینکه حمله کنندگان ساختار کتابخانه قانونی “noblox.js” را تکرار میکنند. با این حال، آنها کد مخرب خود را در داخل فایل “postinstall.js” اضافه میکنند و آن را بهطور شدید پنهان کرده و حتی از حروف چینی برای بازداری تطبیق استفاده میکنند. این ترکیب تکنیکها یک رخنه قانعکننده را ایجاد میکند و احتمال نصب و اجرای ناخواسته نرمافزار مخرب را افزایش میدهد.
با نصب، مالور از هوک “postinstall” npm استفاده میکند که برای فرآیندهای نصب معتبر طراحی شده است و آن را به دروازه اجرای مالور تبدیل میکند. کد توکنهای اثبات هویت Discord را دزدیده، تدابیر امنیتی مانند Malwarebytes و Windows Defender را غیرفعال میکند و بارهای اضافی را دانلود میکند.
همچنین مالور از یک تکنیک پایدار پیشرفته با تلاش در اختیار داشتن مقصور ثبت ویندوز استفاده میکند تا هر باری که برنامه تنظیمات ویندوز باز میشود، خود را اجرا کند و برای زنده ماندن در سیستم آلوده اطمینان حاصل کند. اطلاعات سیستم حساس را جمعآوری میکند و آنها را از طریق webhook Discord به سرور کنترل و کنترل توسط حمله کنندگان ارسال میکند. ضربه نهایی با راهاندازی QuasarRAT، یک ابزار دسترسی از راه دور که به حمله کننده کنترل جامع را بر روی سیستم آلوده میدهد، پایان مییابد.
حضور مستمر زیرساخت حمله کننده، بهویژه یک مخزن GitHub فعال، نشاندهنده این است که توزیع مالور بیشتری از طریق بستههای بیخبر ممکن است روی دهد.
توسعهدهندگان، به ویژه کسانی که با بستههایی که شبیه کتابخانههای محبوب ماننده “noblox.js” هستند کار میکنند، توصیه میشوند که احتیاط را موازی کنند. بررسی دقیق بستهها قبل از گنجاندن آنها در پروژهها برای محافظت از توسعهدهندگان و کاربران از حملات پیچیده زنجیره تامین مانند این بسیار مهم است.
همچنین مقاله به آگاهی از حمله مخرب مداوم به توسعه دهندگان Roblox از طریق بستههای npm میپردازد.
– اهمیت این مقاله
– ذکر این موضوع که توسعهدهندگان باید محتاطانه عمل کنند و بستهها را به صورت دقیق برای گنجاندن در پروژهها بررسی کنند تا از حملات زنجیره تامین محافظت کردهاند
– این مقاله اطلاعات خاصی در مورد تاثیر یا پیامدهای حمله مالوری بر توسعهدهندگان Roblox یا پلتفرم Roblox ارائه نمیدهد.