Roblox開発者を狙った新たな攻撃ウェーブ

ハッカーは不正なnpmパッケージを使用して、Robloxデベロッパーのシステムを侵害しようとする新たな攻撃の波を展開しています。この最新の事件は、脅威行為者がオープンソースエコシステムへの信頼を悪用し、マルウェアを配布する方法を再び示しています。

Checkmarxの研究者Yehuda Gelbによる技術レポートによると、攻撃者は広く使用されている「noblox.js」ライブラリを模倣する多くのパッケージを作成しました。これらのパッケージは、機密データを盗み、システムを侵害するために特別に設計されています。Gelbは、攻撃者がブランドジャッキング、コンボスクワッティング、スタージャッキングなどの手法を利用して、説得力ある合法的なファサードを作成していることに警告しました。

このキャンペーンが明らかになったのは、ReversingLabsが初めてその存在を2023年8月に文書化した時でした。間もなく、このキャンペーンが2年前に起こった類似した攻撃の再現であることが判明しました。その攻撃は、Luna Token Grabberという盗賊の配布を含んでいました。

今年、noblox.js-proxy-serverとnoblox-tsという2つの追加の悪意のあるパッケージが特定されました。これらのパッケージは、人気のあるNode.jsライブラリを模倣し、盗賊マルウェアとQuasar RATと呼ばれるリモートアクセストロイジャンを提供しました。

さらに悪化させるために、攻撃者はスタージャッキングも使用しており、詐欺パッケージを実際のnoblox.jsリポジトリの下にリスト化し、その悪意のある意図にさらなる信頼性を与えています。

この攻撃の最新のイテレーションは、パッケージに悪意のあるコードを組み込むことを含んでおり、それらはGitHubリポジトリにホストされた追加のペイロードを提供するゲートウェイとして機能します。同時に、彼らはDiscordトークンを盗み、Microsoft Defender Antivirusの除外リストを変更して検出を回避し、Windowsレジストリ設定を変更して永続性を確立しています。

このマルウェアの顕著な特徴の1つは、その持続的な性質です。Windows設定アプリを悪用することで、マルウェアは感染したシステムへの持続的アクセスを確認します。その結果、ユーザーがWindows設定アプリにアクセスしようとするたびに、彼らは代わりにマルウェアを実行することになります。

この攻撃チェーンの究極の目的は、Quasar RATを展開し、攻撃者に感染したシステムをリモートで操作する権限を与えることです。盗まれた情報は、Discordウェブフックを介して攻撃者のコマンドアンドコントロールサーバーに送信されます。

これらの悪意のあるパッケージを取り除く努力にもかかわらず、新しいパッケージが常に公開され続けているため、開発者がこの継続的な脅威に対して警戒を維持する重要性を強調しています。

この記事が興味深いと思われた場合は、TwitterとLinkedInで私たちをフォローしてください。

補足的な事実:
– Robloxは、ユーザーがゲームを作成してプレイできる人気のオンラインプラットフォームです。
– 「noblox.js」ライブラリは、Robloxデベロッパーによって広く使用されており、Robloxプラットフォームとのやり取りを行うためのAPIとツールを提供しています。
– npmはJavaScript用のパッケージマネージャであり、開発者がプロジェクトでの依存関係をインストールおよび管理するために一般的に使用されています。
– ブランドジャッキングは、攻撃者が人気のあるライブラリやパッケージを模倣して詐欺的なパッケージを作成し、ユーザーを騙してダウンロードおよびインストールさせる手法です。
– コンボスクワッティングは、攻撃者が正規のドメイン名に似たドメイン名を登録し、ユーザーをその悪意のあるウェブサイトに誘導する手法です。
– 「スタージャッキング」という用語は、攻撃者がnpmなどのコードリポジトリにおいて合法的なパッケージの名前で悪意のあるパッケージをアップロードする行為を指します。

The source of the article is from the blog elperiodicodearanjuez.es