해커들은 사기적인 npm 패키지를 활용하여 Roblox 개발자 시스템을 침해하는 새로운 공격을 시작했습니다. 이 최신 사건은 위협 요소가 오픈 소스 생태계에서 신뢰를 악용하여 악성 소프트웨어를 유포하고 있음을 한 번 더 강조합니다.
Checkmarx 연구원인 Yehuda Gelb의 기술 보고서에 따르면 공격자들은 널리 사용되는 ‘noblox.js’ 라이브러리를 모방하는 많은 패키지를 만들었습니다. 이러한 패키지들은 민감한 데이터를 탈취하고 시스템을 침해하기 위해 특별히 설계되었습니다. Gelb는 공격자들이 브랜드 점유, 콤보스쿼팅 및 스타 잭킹과 같은 기술을 활용하여 설득력 있는 합법성의 표면을 만들었다고 경고했습니다.
이 캠페인은 2023년 8월에 처음 문서화된 ReversingLabs에 의해 알려졌습니다. 곧 이어 이 캠페인이 2021년 10월에 발생한 비슷한 공격의 재현임이 발견되었는데, 이는 루나 토큰 그랩퍼라는 스틸러의 유포를 포함했습니다.
올해에는 noblox.js-proxy-server 및 noblox-ts라는 두 가지 악성 패키지가 추가로 확인 되었습니다. 이러한 패키지들은 인기 있는 Node.js 라이브러리를 흉내내고 스틸러 악성 소프트웨어와 Quasar RAT라는 원격 액세스 트로이 몬을 전달했습니다.
악성 패키지를 더욱 설득력있게 보이도록하기 위해 공격자들은 실제 noblox.js 저장소에 가짜 패키지를 등록하는 스타잭킹 기술도 사용했습니다.
이번 공격의 최신 버전은 악성 코드를 패키지에 삽입하여 추가적인 페이로드를 제공하는 게이트웨이 역할을 하도록 하는 것을 포함합니다. 동시에 Discord 토큰을 탈취하고 Microsoft Defender 백신 제외 목록을 수정하여 감지를 피하며 Windows 레지스트리 설정을 변경하여 지속성을 확립합니다.
이 악성 코드의 주된 특징 중 하나는 그 지속적인 성격입니다. Windows 설정 앱을 이용하여 접근 권한을 끊임없이 보장합니다. 결과적으로 사용자가 Windows 설정 앱에 접근하려 할 때마다 악성 코드가 우발적으로 실행됩니다.
이번 공격 사슬의 궁극적인 목표는 Quasar RAT을 배포하여 공격자가 침해된 시스템을 원격으로 제어하는 것입니다. 그 후 탈취한 정보는 Discord 웹훅을 통해 공격자의 명령 및 제어 서버로 전송됩니다.
이러한 악성 패키지를 제거하기 위한 노력에도 불구하고 새로운 패키지가 계속해서 게시되고 있으며, 이는 개발자가 이 지속적인 위협에 대비하기 위한 대비책을 강조합니다.