Hakkereiden lanseeraama uusi hyökkäysten aalto on suunnattu Roblox-kehittäjien järjestelmiin huijaavien npm-pakettien avulla. Tämä uusin tapahtuma korostaa jälleen kerran, miten uhka toimijat hyödyntävät avoimen lähdekoodin ekosysteemiin kohdistuvaa luottamusta jakamaan haittaohjelmia.
Teknisessä raportissa Checkmarxin tutkija Yehuda Gelb paljasti, että hyökkääjät ovat luoneet lukuisia paketteja, jotka matkivat laajalti käytettyä ’noblox.js’ -kirjastoa. Nämä paketit on suunniteltu erityisesti varastamaan arkaluontoisia tietoja ja valtaamaan järjestelmiä. Gelb varoitti, että hyökkääjät ovat käyttäneet tekniikoita kuten brändin huijaaminen, domainvaraus ja tähtivarkaus luodakseen vakuuttavan harhakuvan laillisuudesta.
Kampanja tuli julki, kun ReversingLabs ensimmäisenä dokumentoi sen olemassaolon elokuussa 2023. Pian selvisi, että tämä kampanja oli toistoa vastaavasta hyökkäyksestä, joka tapahtui kaksi vuotta aiemmin, lokakuussa 2021, joka liittyi Luna Token Grabber -varastiinin jakeluun.
Tämän vuoden aikana tunnistettiin kaksi muuta haitallista pakettia, nimeltä noblox.js-varapalvelin ja noblox-ts. Nämä paketit teeskentelivät suosittua Node.js-kirjastoa ja toivat mukanaan varastiinhaittaohjelmaa sekä etäkäyttökolmannen tietojärjestelmän, joka tunnetaan nimellä Quasar RAT.
Tekijät ovat myös käyttäneet tähtivarkaus- tekniikkaa, jossa vääriä paketteja listataan todellisen noblox.js-varaston alle, lisäten entisestään uskottavuutta haitallisiin aikeisiinsa.
Tämän hyökkäysketjun viimeisin versio sisältää haitallisen koodin upottamisen paketteihin, jotka toimivat porttina lisäkuormien palveluun, jotka on isännöity GitHub-varastossa. Samanaikaisesti ne varastavat Discord-tokeneja, muuttavat Microsoft Defender Antivirusin poissulkulistaa havaitsemisen välttämiseksi ja luovat pysyvyyden muuttamalla Windows-rekisteriasetuksia.
Yksi tämän haittaohjelman huomattavista ominaisuuksista on sen pysyvä luonne. Hyödyntämällä Windowsin asetusten sovellusta haittaohjelma varmistaa jatkuvan pääsyn tartunnan saaneeseen järjestelmään. Seurauksena aina kun käyttäjä yrittää käyttää Windowsin asetusten sovellusta, he tekevät tietämättään haittaohjelman sijaan.
Tämän hyökkäysketjun lopullinen tavoite on ottaa käyttöön Quasar RAT, joka antaa hyökkääjälle etäohjauksen valtaan kompromissoidulla järjestelmällä. Varastetut tiedot lähetetään sitten hyökkääjän komento- ja hallintapalvelimelle Discordiin webhookin kautta.
Vaikka toimenpiteitä on toteutettu näiden haitallisten pakettien poistamiseksi, uusia paketteja julkaistaan jatkuvasti, korostaen kehittäjien tarvetta pysyä valppaina tämän jatkuvan uhan varalta.
Jos tämä artikkeli oli mielestäsi mielenkiintoinen, seuraa meitä Twitterissä ja LinkedInissä lisää eksklusiivista sisältöä varten.
Lisäfaktoja:
– Roblox on suosittu verkkopelialusta, jossa käyttäjät voivat luoda ja pelata pelejä.
– ’noblox.js’ -kirjasto on laajasti käytetty kirjasto Roblox-kehittäjien toimesta, joka tarjoaa API:ta ja työkaluja yhteisvaikutukseen Roblox-alustan kanssa.
– npm on JavaScript-paketinhallinta, jota kehittäjät käyttävät yleisesti riippuvuuksien asentamiseen ja hallintaan projekteissaan.
– Brändin huijaaminen on tekniikka, jossa hyökkääjät luovat huijaavia paketteja, jotka matkivat suosittuja kirjastoja tai paketteja huijatakseen käyttäjiä lataamaan ja asentamaan ne.
– Domainvaraus on tekniikka, jossa hyökkääjät rekisteröivät verkkotunnuksia, jotka ovat samankaltaisia kuin lailliset, jotta huijataan käyttäjiä vierailemaan heidän haitallisilla verkkosivustoillaan.
– ”Tähtivarkaus” -termi viittaa siihen, että hyökkääjät lataavat haitallisia paketteja laillisen paketin nimellä koodivarantoon, kuten npm.
Keskustelukysymykset:
1. Miten hakkereiden kohdistetaan Roblox-kehittäjien järjestelmiin?
– Hakkereiden luomat väärät npm-paketit, jotka matkivat laajasti käytettyä ’noblox.js’-kirjastoa, varastaakseen arkaluontoista tietoa ja vahingoittaakseen järjestelmiä.
2. Minkä tekniikoita hyökkääjät käyttävät huijatakseen käyttäjiä?
– Hyökkääjät käyttävät tekniikoita, kuten brändin huijaaminen, domainvaraus ja tähtivarkaus, luodakseen vakuuttavan harhakuvan laillisuudesta ja levittääkseen haittaohjelmia.
3. Milloin tämä hyökkäysten aalto alkoi?
– Kampanja dokumentoitiin ensimmäisen kerran elokuussa 2023, mutta se oli toisto vastaavasta hyökkäyksestä, joka tapahtui lokakuussa 2021.
Päähaasteet/Kontroverssit:
– Yksi keskeisistä haasteista on uusien haitallisten pakettien jatkuva luominen ja jakelu huolimatta niiden poistoyrityksistä. Tämä korostaa kehittäjien tarvetta pysyä valppaina ja ottaa varotoimenpiteitä järjestelmiensä suojaamiseksi.
Edut:
– Tietoisena näistä hyökkäyksistä ja niiden tekniikoista kehittäjät voivat ryhtyä toimiin suojatakseen järjestelmiään ja tietojaan vahingoittumiselta.
– Checkmarxin tutkija Yehuda Gelbin tekninen raportti tarjoaa arvokkaita näkymiä hyökkääjien käyttämiin taktiikoihin tässä erityisessä kampanjassa.
Haitat:
– Nämä hyökkäykset voivat johtaa arkaluontoisten tietojen varastamiseen ja järjestelmien vaarantumiseen, aiheuttaen potentiaalisia taloudellisia ja maineellisia vahinkoja yksilöille ja organisaatioille.
– Jatkuvasti luotavat uudet haitalliset paketit tuottavat haasteita ajoissa havaitsemiselle ja torjunnalle.
Liittyvät linkit:
– Checkmarx Twitter
– Checkmarx LinkedIn