Új Malware Kampány Célba Vette a Roblox Fejlesztőket NPM Csomagokon Keresztül

2 szeptember 2024
New Malware Campaign Targets Roblox Developers Through NPM Packages

A Checkmarx biztonsági kutatóinak nemrég végzett felfedezése egy olyan folyamatosan zajló malware-kampányt tárt fel, amely Roblox-fejlesztőket céloz meg ártalmas npm csomagok segítségével. A támadók a népszerű „noblox.js” könyvtárat személyesítik meg, és számos olyan csomagot publikáltak, amelyek kifejezetten arra szolgálnak, hogy érzékeny információkat lopjanak el és rendszereit veszélyeztessék.

A közel másfél éve aktív kampány az open-source ökoszisztémában meghelyezett bizalmon keresztül támad. Fő célpontja a Roblox platform, amely híres hatalmas, napi több mint 70 millió aktív felhasználóval rendelkező felhasználói bázisáról.

Több törvénybeiktatás ellenére továbbra is folyamatosan felbukkannak az új ártalmas csomagok, és néhány még mindig aktív a npm nyilvántartásában. Ez a kitartás aggasztó, mivel növeli az újabb támadások potenciálját.

A támadók az legitimáció látszatát keltik, különféle technikákat alkalmazva, mint például brandjacking, combosquatting és starjacking. Olyan csomagneveket alkotnak, amelyek hasonlítanak a „noblox.js” könyvtár valódi kiterjesztéseire, mint például a „noblox.js-async” vagy a „noblox.js-thread.” Azonos mintázatokat utánozva, mint a valódi könyvtárak, az óvatlan fejlesztők nagyobb valószínűséggel telepítik ezeket a kártékony csomagokat. Ráadásul a támadók hivatkozzák csomagaikat a legitim könyvtár GitHub repository URL-jére, így hamisan növelik csomagaik népszerűségét és megbízhatóságát.

A csomagokban található malware gondosan el van rejtve, a támadók megkülönböztetik a valódi „noblox.js” könyvtár szerkezetét. Azonban a kártékony kódot „postinstall.js” fájlba helyezik el, súlyosan elmaszkírozva, sőt még kínai karaktereket is használnak az elemzés megnehezítésére. Ezek a technikák kombinációja meggyőző látszatot kelt, növelve a fejlesztők véletlen telepítési és végrehajtási esélyeit.

Miután telepítették, a malware kihasználja az npm „postinstall” horgot, amelyet a legitim telepítési folyamatokhoz szántak, átváltoztatva azt a malware végrehajtásának kapujává. A kód eltulajdonítja a Discord hitelesítő tokent, letiltja a biztonsági intézkedéseket, mint például a Malwarebytes és a Windows Defender, és további terheket töltenek le.

A malware emellett használ egy kifinomult kitartási technikát, azaz manipulálja a Windows regisztrációját, hogy minden alkalommal végrehajtsa magát, amikor a Windows Beállítások alkalmazást megnyitják, ezzel biztosítva túlélését az fertőzött rendszeren. Az érzékeny rendszerinformáációkat gyűjti össze, és Discord webhookon keresztül elküldi az támadók irányítására és ellenőrzésére szolgáló parancs- és ellkezelő szerverre. Az utolsó csapást az QuasarRAT elhelyezésével adják, mely egy távoli hozzáférési eszköz, ami lehetővé teszi az támadó számára a korábban befertőzött rendszer átfogó irányítását.

Az támadó infrastruktúrájának folyamatos jelenléte, különösen egy aktív GitHub repository, aggasztó jel, ami arra utal, hogy további malware terjesztés történhet keresztül óvatlan csomagokon keresztül.

A fejlesztők, különösen az olyan csomagokkal dolgozók, amelyek hasonlítanak az „noblox.js” népszerű könyvtárakra, figyelmeztetve vannak, hogy legyenek körültekintőek. Fontos a csomagok alapos ellenőrzése, mielőtt beépítenék őket a projektekbe annak érdekében, hogy védjék a fejlesztőket és felhasználókat az ilyen kifinomult ellátási lánc-támadásoktól.

További tények:
– A Checkmarx kutatók felfedezték, hogy a malware-kampány már több mint egy éve aktív, ami arra utal, hogy a támadók kitartóak és továbbra is alkalmazkodnak taktikáikat a felismerés elkerülése érdekében.
– A Roblox platformot elsősorban nagy felhasználói bázisa miatt támadják, ami vonzó célponttá teszi az érzékeny információkhoz való hozzáférés és a rendszerek kompromittálásának szempontjából.
– A támadók olyan technikákat alkalmaznak, mint a brandjacking, combosquatting, és starjacking, hogy becsapják a fejlesztőket az ártalmas csomagjaik telepítésébe.
– Az ártalmas csomagok érzékeny információk ellopására, biztonsági intézkedések kikapcsolására és további terhek letöltésére vannak tervezve, végső soron az támadó számára az irányítás megszerzését biztosítják az fertőzött rendszer fölött.
– A malware kifinomult technikákat használ a felismerés elkerülése érdekében, beleértve az elkamuzálását a valódi „noblox.js” könyvtárként és a kódjának kínai karakterekkel történő elcsúsztatását.
– A támadók manipulálják a Windows regisztrációját annak érdekében, hogy a malware túléljen az fertőzött rendszeren.
– A malware kommunikál az támadók parancs- és ellenőrző szerverével egy Discord webhookon keresztül, lehetővé téve számukra az érzékeny rendszerinformációk gyűjtését és távoli hozzáférési eszközök telepítését.

Kulcsfontosságú kérdések és válaszok:
1. Melyik az ártalmas kampány fő célpontja?
– Az ártalmas kampány fő célpontja a Roblox platform, amely híres nagy felhasználói bázisáról.

2. Mennyi ideje aktív az ártalmas kampány?
– Az ártalmas kampány már több mint egy éve aktív.

3. Milyen technikákat alkalmaznak a támadók, hogy becsapják a fejlesztőket az ártalmas csomagjaik telepítésébe?
– A támadók olyan technikákat használnak, mint a brandjacking, combosquatting, és starjacking, hogy olyan csomagneveket alkossanak, amelyek hasonlítanak a „noblox.js” könyvtár valódi kiterjesztéseire.

4. Hogyan biztosítja az malware azt, hogy túléli az fertőzött rendszereken?
– Az malware manipulálja a Windows regisztrációját annak érdekében, hogy minden alkalommal végrehajtsa magát, amikor a Windows Beállítások alkalmazást megnyitják, ezzel biztosítva túlélését az fertőzött rendszeren.

Kulcs kihívások vagy kontroversziák:
– A támadó infrastruktúrájának folyamatos jelenléte, ideértve az aktív GitHub repositoryt, azt jelezheti, hogy további malware terjesztés történhet az ártatlan csomagokon keresztül.

Előnyök:
– A cikk tudatosságot teremt a Roblox fejlesztőket célozó npm csomagokkal zajló ártalmas kampányról.
– Kiemeli annak fontosságát, hogy körültekintően járjanak el, és alaposan ellenőrizzék a csomagokat, mielőtt beépítenék őket a projektekbe annak érdekében, hogy védjék a fejlesztőket és felhasználókat az ellátási lánc-támadásoktól.

Hátrányok:
– A cikk nem nyújt specifikus információkat a malware-kampány hatásáról vagy következményeiről a Roblox fejlesztők vagy a Roblox platform szempontjából.

Javasolt kapcsolódó link:
npm – Az npm hivatalos weboldala, a JavaScript csomagkezelő.

Don't Miss

Transformations at Netflix Gaming Division

Átalakulások a Netflix Játékosztályán

A Netflix határozott lépésekkel kívánja fokozni játékos szegmensét, és egy
Roblox Experiences Widespread Server Outage

A Roblox széleskörű szerverkimaradást tapasztal

Ma korábban jelentős technikai probléma érte a Roblox összes platformját,