새로운 악성 소프트웨어 캠페인이 NPM 패키지를 통해 Roblox 개발자를 대상으로 합니다.

by Arthur Herring
in News
on 2 9월 2024

New Malware Campaign Targets Roblox Developers Through NPM Packages

최근 Checkmarx 보안 연구원들의 발견에 따르면, 악성 npm 패키지를 통해 Roblox 개발자를 겨냥하는 악성 코드 캠페인이 계속되고 있다고 밝혀졌습니다. 공격자들은 인기있는 “noblox.js” 라이브러리를 위장하고 민감한 정보를 탈취하고 시스템을 침해하기 위해 다수의 패키지를 게시했습니다.

이 캠페인은 1년 이상 활동 중이며, 오픈 소스 생태계에 대한 신뢰를 악용하고 있습니다. 주요 타깃은 1일 평균 활성 사용자 수가 7000만 명을 넘는 거대한 사용자 베이스로 유명한 Roblox 플랫폼입니다.

여러 차례 패키지가 폐기되었음에도 불구하고, 여전히 새로운 악성 패키지들이 등장하고 있으며, 일부는 아직도 npm 레지스트리에서 활성 상태입니다. 이러한 지속성은 더 많은 공격 가능성을 높이는데, 이는 우려의 소지가 있습니다.

합법성의 환상을 조성하기 위해, 공격자들은 브랜드칵킹, 콤보스쿼팅, 스타쟝킹을 비롯한 다양한 기술을 사용했습니다. 그들은 “noblox.js” 라이브러리의 확장이라는 합법적인 패키지 이름을 모방하여 “noblox.js-async” 및 “noblox.js-thread”과 같은 패키지 이름을 만들었습니다. 진정한 라이브러리의 네이밍 패턴을 흉내내어, 경솔한 개발자들이 이러한 악성 패키지를 더 쉽게 설치할 가능성이 높아졌습니다. 더구나, 공격자들은 자신들의 패키지를 합법적인 라이브러리의 GitHub 저장소 URL에 연결하여 패키지의 인기와 신뢰성을 가짜로 높이고 있습니다.

패키지 내의 악성 코드는 신중하게 속일 만하며, 공격자들은 합법적인 “noblox.js” 라이브러리의 구조를 모방했습니다. 그러나 그들은 “postinstall.js” 파일 내에 악성 코드를 삽입하고, 중국 문자까지 사용하여 심하게 난독화시켰습니다. 이러한 기술의 결합으로, 개발자들이 악성 소프트웨어를 우연히 설치하고 실행할 가능성이 높아졌습니다.

한번 설치되면, 악성 코드가 npm의 “postinstall” 훅을 악용하여 자신의 실행을 위한 게이트웨이로 변형시킵니다. 이 코드는 Discord 인증 토큰을 도용하고, Malwarebytes 및 Windows Defender와 같은 보안 조치를 비활성화하며, 추가적인 페이로드를 다운로드합니다.

악성 코드는 Windows 레지스트리를 조작하여 감염된 시스템에서 Windows 설정 앱을 열 때마다 자신을 실행하도록 하는 정교한 지속성 기술을 사용합니다. 민감한 시스템 정보를 수집하고 이를 공격자의 명령 및 제어 서버로 Discord 웹훅을 통해 전송합니다. 최종 공격은, 감염된 시스템에 대한 포괄적인 제어권을 공격자에게 부여하는 원격 액세스 도구 QuasarRAT을 배포하는 것으로 이루어집니다.

공격자의 인프라, 특히 활성 GitHub 저장소의 지속적인 존재는, 어떤 패키지를 통해 더 많은 악성코드가 배포될 수 있다는 경고 신호입니다.

특히 “noblox.js”와 같은 인기 있는 라이브러리를 닮은 패키지와 작업하는 개발자들은 주의해야 합니다. 프로젝트에 통합하기 전에 패키지를 철저히 심사하는 것이 이러한 정보공급망 공격으로부터 개발자들과 사용자를 보호하는데 중요합니다.

– 체크마륀 연구자들은 악성 코드 캠페인이 1년 이상 활성화되어 있다는 사실을 발견하여, 공격자가 여전히 적응하고 발견을 회피하기 위해 전술을 조정하고 있다는 것을 보여줍니다.
– Roblox 플랫폼은 거대한 사용자 베이스를 가지고 있어 주된 타깃이 되며, 공격자가 민감한 정보에 접근하고 시스템을 침해하기 위해 공격하는 데 매력적인 대상입니다.
– 공격자는 브랜드칵킹, 콤보스쿼팅, 스타쟝킹과 같은 다양한 기술을 사용하여 개발자들이 악성 패키지를 설치하도록 속이려고 합니다.
– 악성 패키지는 민감한 정보를 탈취하고 보안 조치를 비활성화하며 추가적인 페이로드를 다운로드하여, 결국 공격자가 감염된 시스템을 제어할 수 있게 합니다.
– 악성 코드는 합법적인 “noblox.js” 라이브러리로 위장하고 코드를 중국 문자로 난독화하여 감지를 회피하는 등 정교한 기술을 사용합니다.
– 공격자들은 Windows 레지스트리를 조작하여 감염된 시스템에서 악성 코드가 지속되도록 합니다.
– 악성 코드는 Discord 웹훅을 통해 공격자의 명령 및 제어 서버와 통신하여 민감한 시스템 정보를 수집하고 원격 액세스 도구를 배포합니다.

주요 질문과 답변:
1. 악성 코드 캠페인의 주요 타깃은 무엇인가요?
– 악성 코드 캠페인의 주요 타깃은 대규모 사용자 베이스로 유명한 Roblox 플랫폼입니다.

2. 악성 코드 캠페인이 활성화된 기간은 얼마나 되나요?
– 악성 코드 캠페인은 1년 이상 활성화되어 있습니다.

3. 공격자들이 개발자들을 속여서 악성 패키지를 설치하도록 하는 데 사용하는 기술은 무엇인가요?
– 공격자들은 브랜드칵킹, 콤보스쿼팅, 스타쟝킹과 같은 기술을 사용하여 개발자들이 악성 패키지를 설치하도록 속이려고 합니다.

4. 악성 코드가 감염된 시스템에서 지속성을 어떻게 보장하나요?
– 악성 코드는 Windows 레지스트리를 조작하여 감염된 시스템에서 Windows 설정 앱을 열 때마다 자신을 실행하여 지속성을 보장합니다.

주요 도전 또는 논란:
– 공격자의 인프라, 특히 활성 GitHub 저장소를 통한 지속적인 존재는, 어떤 패키지를 통해 더 많은 악성 코드가 배포될 수 있다는 잠재적인 가능성을 나타냅니다.

장점:
– 이 기사는 npm 패키지를 통해 Roblox 개발자를 겨냥하는 악성 코드 캠페인에 관한 인식을 제공합니다.
– 프로젝트에 통합하기 전에 패키지를 심사하고 개발자와 사용자를 정보공급망 공격으로부터 보호하는 중요성을 강조합니다.

단점:
– 기사는 악성 코드 캠페인이 Roblox 개발자나 Roblox 플랫폼에 미친 영향이나 결과에 대한 구체적인 정보를 제공하지 않습니다.

관련 링크 제안:
npm – 자바스크립트를 위한 패키지 관리자인 npm의 공식 웹사이트.

The source of the article is from the blog jomfruland.net