Arthur Herring
גילוי אחרון של מחקרי אבטחה של Checkmarx חושף מבצע פשע סייבר שנמשך ומגויס פיתוחי Roblox באמצעות חבילות npm רעות. התוקפים מתחפשים לספריית "noblox.js" הפופולרית ופרסמו מספר חבילות המיועדות לגנוב מידע רגיש ולהפוך מערכות.
המבצע, שפועל למעלה משנה, מנצל את האמון שניתן לאקוסיסטם הפתוח. המטרה העיקרית שלו היא פלטפורמת Roblox שמכונה על בסיסה השפעה ענקית של מעל 70 מיליון משתמשים פעילים יומיים.
למרות מספר רב של הורדות, חבילות רעות חדשות ממשיכות לצאת לפועל וחלקן עדיין פעילות ברישון ה-npm. הנצחון הזה לבדוק מעורבותה של התוקפים וגורם להתפשרות לתקיפות נוספות.
ליצור הילולה של תוקפים זרים, הם השתמשו בטכניקות שונות כולל השחתת מותג, כומבוסקוווטינג וסטארג'קינג. הם יוצרים שמות חבילות המזכים ספריות תואמות ל-noblox.js הנאמנות, כגון "noblox.js-async" ו-"noblox.js-thread." דרך השקפת דמותן של הספריות האמיתיות, מפתים פיתחים שאינם מזהים להתקין את חבילות הרעות האלה. בנוסף, התוקפים מקשרים את החבילות שלהם לכתובת URL של מאגר הקוד של github של הספריה החוקית, מפרסמים בכך את הפופולריות והאמינות המיותרת של החבילות שלהם.
התוכנות המוחבאות בתוך החבילות מותגנות בזהירות, עם התוקפים מדמים את מבנה הספריה חוקית של "noblox.js". בכל זאת, הם מוסיפים את הקוד הרע שלהם בתוך הקובץ "postinstall.js", מהמקובל וגורמים להדביק אותו ביותר. גם שימוש בתווים סיניים להסתיר את הקוד. תיאום זה מייצר פנים שוליות מרשימות, מגביר את הסיכויים של פיתחים שיתקינו בטעות ויריצו את התוכנה הרעה.
לאחר ההתקנה, התוכנה המזיקה מפעילה את תחפירת ה-postinstall של npm, שנועדה לתהליכי תקנה חוקיים, והופכת אותה לשער לביצועי התוכנה המזיקה. הקוד גונב אסימונים לאימות של Discord, כגון השבתה של כלי אבטחה כגון Malwarebytes ו- Windows Defender, ומוריד תשעורות נוספים.
התוכנה המזיקה משתמשת גם בטכניקה מתוחכמת של המתעסקת ברשומה האחורית של Windows כדי להריץ את עצמה בכל פעם שהאפליקציה להגדרות Windows נפתחת, ומבטיחה את קיומה התקייה במערכת המודבקת. היא אוספת מידע רגיש אודות מערכת ושולחת אותו לשרת הפקודות והפיקודים של התוקפים באמצעות Discord webhook. המכה הסופית מתאימה לפרסום של QuasarRAT, כלי כניסה מרחוק שמעניק לתוקף שליטה מלאה מעל המערכת השזורה.
הקיום התקני של תשתיות התוקפים, בעיקר מאגר github פעיל, הוא איתור מדאיג, המעיד על אותו כי תפצות של תוכנות מזיקות עשויה לקרות דרך חבילות אלו.
יש לפתחים, במיוחד אלה העובדים עם חבילות שדומות לספריות פופולריות כמו "noblox.js", להשתמש בזהירות. יש לבדוק בקפידה את החבילות לפני שהם משתמשים בהן בפרויקטים הינם גורמים להגנה על פתחים ומשתמשים מתוקפי תוכנית הספק.
שאלות מרכזיות ותשובות:
1. מי המטרה העיקרית של מבצע תוכנת המוח?
– מטרת המחבוא העיקרית של מבצע התוקפים היא פלטפורמת Roblox, הידועה במבצע המשתמשים הגדול שלה.
2. כמה זמן מבצע תוקפי התוקפים היה פעיל?
– מבצע תוקפי התוקפים היה פעיל כבר מעל שנה.
3. אילו טכניקות משתמשים התוקפים כדי להטעות פיתחים להתקין את חבילותיהם הרעות?
– התוקפים משתמשים בטכניקות כגון השחתת מותג, כומבוסקוווטינג וסטארג'קינג כדי ליצור שמות חבילות דומות להרחבות חוקיות של ספריית "noblox.js."
4. איך התוקפים מבטיחים את התקיימותם של התוכנה המזיקה במערכות המודבקות?
– התוקפים מפעילים את רישום Windows כדי להפעיל את עצמם בכל פעם שהאפליקציה של הגדרות Windows נפתחת, וכך מבטיחים את קימותם במערכת המודבקת.
אתגרים או ודאות עיקרי:
– אחת האתגרים המרכזיים הוא הקיום התקני של תשתיות התוקפים, כולל מאגר github פעיל, שהוא איתור על פתח להפצת תוכנות מזיקות נוספות דרך חבילות אינם מזהים.
יתרונות:
– המאמר מספק תחקיר על מבצע התוקפים המתמשך המסתיר פיתחים של Roblox באמצעות חבילות npm.
– הוא מדגיש את חשיבות השקילה ואכיפת החוק לפני שהם כוללים פרויקטים על מנת להגן על פותחים ועל פיתחים מפני תקיפות שרשרת אספקה מורכבות כמו זו.
חסרונות:
– המאמר אינו מספק מידע ספציפי על ההשפעה או ההשפעה של מבצע התוקפים על פיתחי Roblox או על פלטפורמת Roblox.
