Nouvelle campagne de logiciels malveillants ciblant les développeurs de Roblox via des packages NPM

3 septembre 2024
New Malware Campaign Targets Roblox Developers Through NPM Packages

Une récente découverte des chercheurs en sécurité de Checkmarx a révélé une campagne de logiciels malveillants ciblant les développeurs Roblox via des packages npm malveillants. Les attaquants se font passer pour la bibliothèque populaire « noblox.js » et ont publié de nombreux packages conçus pour voler des informations sensibles et compromettre des systèmes.

Cette campagne, active depuis plus d’un an, profite de la confiance accordée à l’écosystème open-source. Sa cible principale est la plateforme Roblox, connue pour son immense base d’utilisateurs comptant plus de 70 millions d’utilisateurs actifs quotidiens.

Malgré plusieurs suppressions, de nouveaux packages malveillants continuent à émerger, certains étant toujours actifs sur le registre npm. Cette persistance est préoccupante car elle augmente le potentiel de nouvelles attaques.

Pour créer une illusion de légitimité, les attaquants ont utilisé diverses techniques, dont le brandjacking, le combosquatting et le starjacking. Ils créent des noms de package qui ressemblent à des extensions légitimes de la bibliothèque « noblox.js », tels que « noblox.js-async » et « noblox.js-thread ». En imitant les schémas de dénomination des bibliothèques authentiques, les développeurs qui ne se méfient pas sont plus susceptibles d’installer ces packages malveillants. De plus, les attaquants relient leurs packages à l’URL du dépôt GitHub de la bibliothèque légitime, gonflant faussement la popularité et la fiabilité de leurs packages.

Les logiciels malveillants au sein des packages sont soigneusement dissimulés, les attaquants répliquant la structure de la bibliothèque légitime « noblox.js ». Cependant, ils introduisent leur code malveillant dans le fichier « postinstall.js », l’obfusquant fortement, allant jusqu’à utiliser des caractères chinois pour décourager l’analyse. Cette combinaison de techniques crée une façade convaincante, augmentant les chances pour les développeurs d’installer et d’exécuter involontairement le logiciel malveillant.

Une fois installé, le logiciel malveillant exploite le crochet « postinstall » de npm, destiné aux processus de configuration légitimes, le transformant en une passerelle pour l’exécution du logiciel malveillant. Le code vole les jetons d’authentification Discord, désactive les mesures de sécurité telles que Malwarebytes et Windows Defender, et télécharge des charges utiles supplémentaires.

Le logiciel malveillant utilise également une technique sophistiquée de persistance en manipulant le registre Windows pour s’exécuter à chaque ouverture de l’application Paramètres de Windows, garantissant sa survie sur le système infecté. Il collecte des informations système sensibles et les envoie au serveur de commande et de contrôle des attaquants via un webhook Discord. Le coup final est porté avec le déploiement de QuasarRAT, un outil d’accès à distance qui accorde à l’attaquant un contrôle complet sur le système compromis.

La présence continue de l’infrastructure de l’attaquant, en particulier d’un dépôt GitHub actif, est un signe alarmant indiquant une possible distribution supplémentaire de logiciels malveillants à travers des packages non suspects.

Il est recommandé aux développeurs, en particulier ceux travaillant avec des packages ressemblant à des bibliothèques populaires comme « noblox.js », de faire preuve de prudence. Il est crucial de vérifier soigneusement les packages avant de les intégrer dans des projets pour protéger les développeurs et les utilisateurs contre des attaques sophistiquées de la chaîne d’approvisionnement.

Avantages :
– L’article sensibilise à la campagne de logiciels malveillants en cours qui cible les développeurs Roblox via des packages npm.
– Il met en avant l’importance de faire preuve de prudence et de vérifier attentivement les packages avant de les intégrer dans des projets pour protéger les développeurs et les utilisateurs des attaques de la chaîne d’approvisionnement.

Désavantages :
– L’article ne fournit pas d’informations spécifiques sur l’impact ou les conséquences de la campagne de logiciels malveillants sur les développeurs Roblox ou la plateforme Roblox.

Don't Miss