Nuova Campagna Malware Mirata ai Sviluppatori di Roblox Attraverso i Pacchetti NPM
Una recente scoperta da parte dei ricercatori di sicurezza di Checkmarx ha rivelato una campagna malware in corso che mira agli sviluppatori di Roblox attraverso pacchetti npm maligni. Gli aggressori si stanno facendo passare per la popolare libreria “noblox.js” e hanno pubblicato numerosi pacchetti progettati per rubare informazioni sensibili e compromettere i sistemi.
La campagna, attiva da oltre un anno, sfrutta la fiducia riposta nell’ecosistema open-source. Il suo obiettivo principale è la piattaforma Roblox, nota per la sua vasta base di utenti di oltre 70 milioni di utenti attivi giornalieri.
Nonostante diversi interventi, continuano a emergere nuovi pacchetti maligni, con alcuni ancora attivi nel registro npm. Questa persistenza è preoccupante, poiché aumenta il potenziale per ulteriori attacchi.
Per creare un’illusione di legittimità, gli aggressori hanno impiegato varie tecniche, inclusi il brandjacking, il combosquatting e lo starjacking. Creano nomi di pacchetti che somigliano a estensioni legittime della libreria “noblox.js”, come “noblox.js-async” e “noblox.js-thread”. Mimando i modelli di denominazione delle librerie autentiche, gli sviluppatori inconsapevoli sono più propensi ad installare questi pacchetti maligni. Inoltre, gli aggressori collegano i loro pacchetti all’URL del repository GitHub della libreria legittima, gonfiando falsamente la popolarità e la fiduciosità dei loro pacchetti.
Il malware all’interno dei pacchetti è attentamente mascherato, con gli aggressori che replicano la struttura della legittima libreria “noblox.js”. Tuttavia, introducono il loro codice maligno nel file “postinstall.js”, oscurandolo pesantemente, arrivando persino a utilizzare caratteri cinesi per scoraggiare l’analisi. Questa combinazione di tecniche crea una facciata convincente, aumentando le probabilità che gli sviluppatori installino ed eseguano involontariamente il software maligno.
Una volta installato, il malware sfrutta il hook “postinstall” di npm, destinato a processi di installazione legittimi, trasformandolo in un varco per l’esecuzione del malware. Il codice ruba i token di autenticazione di Discord, disattiva misure di sicurezza come Malwarebytes e Windows Defender, e scarica carichi utili addizionali.
Il malware utilizza anche una tecnica di persistenza sofisticata manipolando il registro di Windows per eseguirsi ogni volta che viene aperta l’app Impostazioni di Windows, assicurandosi la sua sopravvivenza nel sistema infetto. Raccoglie informazioni sensibili di sistema e le invia al server di comando e controllo degli aggressori tramite una webhook di Discord. Il colpo finale arriva con il rilascio di QuasarRAT, un tool di accesso remoto che concede all’aggressore un controllo completo sul sistema compromesso.
La presenza continua dell’infrastruttura degli aggressori, in particolare un repository GitHub attivo, è un segnale allarmante che potrebbe essere in corso ulteriore distribuzione di malware attraverso pacchetti maledetti.
Gli sviluppatori, specialmente coloro che lavorano con pacchetti simili alle librerie popolari come “noblox.js”, sono invitati ad esercitare cautela. Vettere attentamente i pacchetti prima di incorporarli nei progetti è cruciale per proteggere gli sviluppatori e gli utenti da attacchi sofisticati alla catena di approvvigionamento come questo.
Come gli aggressori diventano sempre più abili nell’approfittare della fiducia nell’ecosistema open-source, è essenziale che gli sviluppatori rimangano vigili e scettici.
The source of the article is from the blog dk1250.com