Nova zlonamjerna kampanja cilja na razvijatelje Robloxa putem NPM paketa

3 rujna 2024
New Malware Campaign Targets Roblox Developers Through NPM Packages

Nedavno otkriće sigurnosnih istraživača u Checkmarx-u otkrilo je stalnu kampanju malvera koja cilja razvojnike Robloxa putem zlonamjernih npm paketa. Napadači se predstavljaju kao popularna “noblox.js” biblioteka i objavili su brojne pakete namijenjene krađi osjetljivih informacija i kompromitiranju sustava.

Kampanja, koja je aktivna već više od godinu dana, koristi povjerenje koje se stavlja u ekosustav otvorenog koda. Njezin primarni cilj je Roblox platforma, poznata po svojoj masivnoj bazi korisnika od preko 70 milijuna dnevnih aktivnih korisnika.

Unatoč nekoliko ukidanja, nastavljaju se pojavljivati novi zlonamjerni paketi, a neki su još uvijek aktivni na npm registru. Ova upornost je zabrinjavajuća, jer povećava potencijal za daljnje napade.

Kako bi stvorili privid legitimnosti, napadači su koristili različite tehnike, uključujući brandjacking, combosquatting i starjacking. Kreiraju imena paketa koja podsjećaju na legitimne ekstenzije “noblox.js” biblioteke, poput “noblox.js-async” i “noblox.js-thread.” Ime paketa koje oponaša obrasce imena pravih biblioteka, nesvjesnim developerima olakšava instalaciju ovih zlonamjernih paketa. Dodatno, napadači povezuju svoje pakete s URL-om repozitorija na GitHub-u legitimne biblioteke, lažno povećavajući popularnost i pouzdanost svojih paketa.

Malver unutar paketa pažljivo je prikriven, s napadačima koji repliciraju strukturu legitimne “noblox.js” biblioteke. Međutim, oni ugrađuju svoj zlonamjerni kôd unutar datoteke “postinstall.js”, čime ga teško zamagljuju, čak koristeći kineske znakove kako bi odvratili analizu. Ova kombinacija tehnika stvara uvjerljivu fasadu, povećavajući šanse da developeri nenamjerno instaliraju i pokrenu zlonamjerni softver.

Jednom kada je instaliran, malver iskorištava npm-ov “postinstall” hook, namijenjen legitimnim postupcima postavljanja, pretvarajući ga u prolaz za izvršenje malvera. Kôd krade Discord autentifikacijske tokene, deaktivira sigurnosne mjere poput Malwarebytesa i Windows Defendera, te preuzima dodatne opterećenja.

Malver također koristi sofisticiranu tehniku ​​upornosti manipuliranjem Windows registra kako bi se izvršavao svaki put kad se otvori aplikacija Postavke sustava Windows, osiguravajući svoje preživljavanje na zaraženom sustavu. Skuplja osjetljive informacije o sustavu i šalje ih na command-and-control server napadača putem Discord web-kuke. Konačni udarac dolazi s implementacijom QuasarRAT-a, alata za daljinski pristup koji daje napadaču potpunu kontrolu nad kompromitiranim sustavom.

Stalna prisutnost infrastrukture napadača, posebno aktivnog GitHub repozitorija, zastrašujući je znak da kroz nesvjesne pakete može doći do daljnje distribucije zlonamjernog softvera.

Razvojnici, posebno oni koji rade s paketima koji podsjećaju na popularne biblioteke poput “noblox.js,” pozvani su da budu oprezni. Temeljito provjeravanje paketa prije njihovog uključivanja u projekte ključno je za zaštitu developera i korisnika od sofisticiranih zlonamjernih napada poput ovog prema lancu opskrbe.

Dodatne činjenice:
– Istraživači u Checkmarx-u otkrili su da kampanja malvera traje već više od godinu dana, što ukazuje na to da su napadači uporni i nastavljaju prilagođavati svoje taktike kako bi izbjegli otkrivanje.
– Roblox platforma je primarno meta zbog svoje velike baze korisnika, čineći je privlačnom metom za napadače koji žele doći do osjetljivih informacija i kompromitirati sustave.
– Napadači koriste različite tehnike poput brandjackinga, combosquattinga i starjackinga kako bi prevarili developere da instaliraju svoje zlonamjerne pakete.
– Zlonamjerni paketi dizajnirani su za krađu osjetljivih informacija, onemogućavanje sigurnosnih mjera i preuzimanje dodatnih opterećenja, čime se napadaču konačno daje kontrola nad kompromitiranim sustavom.
– Malver koristi sofisticirane tehnike za izbjegavanje detekcije, uključujući maskiranje kao legitimna “noblox.js” biblioteka i zamagljivanje kôda kineskim znakovima.
– Napadači manipuliraju Windows registrom kako bi osigurali upornost malvera na zaraženom sustavu.
– Malver komunicira s command-and-control serverom napadača putem Discord web-kuke, omogućavajući im skupljanje osjetljivih informacija o sustavu i implementaciju alata za daljinski pristup.

Ključna pitanja i odgovori:
1. Koja je primarna meta kampanje malvera?
– Primarna meta kampanje malvera je Roblox platforma, poznata po svojoj velikoj bazi korisnika.

2. Koliko dugo traje kampanja malvera?
– Kampanja malvera traje već više od godinu dana.

3. Koje tehnike napadači koriste kako bi prevarili developere da instaliraju svoje zlonamjerne pakete?
– Napadači koriste tehnike kao što su brandjacking, combosquatting i starjacking kako bi kreirali imena paketa koja podsjećaju na legitimne ekstenzije “noblox.js” biblioteke.

4. Kako malver osigurava svoju upornost na zaraženim sustavima?
– Malver manipulira Windows registrom kako bi se izvršavao svaki put kad se otvori aplikacija Postavke sustava Windows, osiguravajući svoje preživljavanje na zaraženom sustavu.

Ključni izazovi ili kontroverze:
– Jedan od ključnih izazova je stalna prisutnost infrastrukture napadača, uključujući aktivni GitHub repozitorij, što ukazuje na potencijal za daljnju distribuciju zlonamjernog softvera putem nesvjesnih paketa.

Prednosti:
– Članak pruža svijest o stalnoj kampanji malvera koja cilja razvojnike Robloxa putem npm paketa.
– Naglašava važnost opreza i temeljitog provjeravanja paketa prije njihovog uključivanja u projekte za zaštitu developera i korisnika od napada prema lancu opskrbe.

Mane:
– Članak ne pruža specifične informacije o utjecaju ili posljedicama kampanje malvera na razvojnike Robloxa ili Roblox platformu.

Predložena povezana veza:
npm – Službena web stranica npm-ova, upravitelja paketa za JavaScript.

Don't Miss

The Great Nintendo Switch 2 Countdown: What’s Really Happening?

Title in Croatian: Veliko odbrojavanje do Nintendo Switch 2: Što se zapravo događa?

Uvod U posljednjim danima, uzbuđenje oko mogućeg otkrivanja Nintendo Switch
Pokémon TCG: Evolving Skies Continues to Soar in Value

Pokémon TCG: Razvijajuće se nebeske staze i dalje rastu u vrijednosti

Pokémon trgovačka kartaška igra (TCG) uvijek je bila tržište koje