Naujas kenkėjiško kodo kampanijos tikslas – Napastoti Roblox kūrėjus per NPM paketus
Neseniai išrinktų saugumo tyrėjų iš „Checkmarx“ atskleistas pasisekimas parodė, kad vyksta kenkėjiška programinės įrangos kampanija, kuri taiko „Roblox“ kūrėjus per kenksmingus „npm“ paketus. Užpuolikai imituoja populiarią „noblox.js“ biblioteką ir išleido daugybę paketų, sukurtų kad pavogtų jautrią informaciją ir kompromituotų sistemas.
Ši kampanija, kuri vykdoma jau daugiau nei metus, pasinaudoja pasitikėjimu atviruosiuose šaltiniuose. Jos pagrindinė taikinė yra „Roblox“ platforma, žinoma dėl milžiniško kasdienių aktyvių vartotojų, kurie siekia viršyti 70 milijonų.
Nepaisant kelių atsisiuntimų, nauji kenksmingi paketai ir toliau atsiranda, o kai kurie išlieka aktyvūs „npm“ registrų. Šis išliekantis reiškinys kelia nerimą, nes didėja galimybė dėl tolesnių atakų.
Kad sukurtų iliuziją legitimumo, užpuolikai naudojo įvairias technikas, įskaitant prekės ženklo nukrapštymą, combokvarčiavimą ir žvaigždžių kėlimą. Jie sukuria paketų pavadinimus, kurie primena tikrųjų „noblox.js“ bibliotekų plėtinius, tokius kaip „noblox.js-async“ ir „noblox.js-thread“. Imituodami tikrųjų bibliotekų pavadinimo modelius, pasiklydęs kūrėjas labiau linkęs įdiegti šiuos kenksmingus paketus. Be to, užpuolikai savo paketus susieja su tikrųjų bibliotekos „GitHub“ saugyklos URL, netikru dalyku didindami savo paketų populiarumą ir patikimumą.
Kenkėjiška programa paketuose kruopščiai paslėpta, užpuolikai imituoja tikrąją „noblox.js“ bibliotekos struktūrą. Tačiau savo kenksmingą kodą įveda į „postinstall.js“ failą, giliai jį nutildami, netgi naudodami kinų hieroglifus, kad atgrasytų analizės. Šių technikų derinys sukuria įtikinamą fasadą, padidindamas galimybes, kad kūrėjai atsitiktinai įdiegtų ir įvykdytų kenksmingą programinę įrangą.
Kai įdiegta, programa naudoja „npm“ „postinstall“ jungiklį, kuris skirtas teisėtoms diegimo procesams, pavertdamas jį į įėjimo vartelį kenksmingai programinę įrangą. Kodas pavogia „Discord“ autentifikavimo ženklus, išjungia saugumo priemones, tokius kaip „Malwarebytes“ ir „Windows Defender“, bei atsisiunčia papildomas apkrovas.
Kenkėjiška programa taip pat naudoja sudėtingą išliekamumo techniką manipuliuodama „Windows“ registru, kad išvyktų pats kiekvieną kartą, kai atveriamas „Windows“ nustatymų programinis įrankis, užtikrindama savo išlikimą užkrėstame sistemoje. Ji renka jautrią sistemos informaciją ir siunčia ją į užpuolikų komandų ir kontrolės serverį per „Discord“ pranešimų juostą. Galutinis smūgis atėja su „QuasarRAT“ diegimu, nuotolinio prieigos įrankiu, suteikiančiu užpuolikui išsamų valdymą, turintį prieiga prie kompromituotos sistemos.
Kenkėjų infrastruktūros, ypač aktyvaus „GitHub“ saugyklos, nuolatinis buvimas yra perspėjantis požymis, kad per svetimus paketus gali vykti tolesnė kenkėjiškų programų platinimas.
Kūrėjai, ypač dirbantys su bibliotekų, panašių į populiarias bibliotekas, pvz., „noblox.js“, raginami būti atsargūs. Kruopščiai tikrinti paketus prieš juos įtraukiant į projektus yra būtina, siekiant apsaugoti kūrėjus ir vartotojus nuo tokių sudėtingų tiekybos grandinės atakų kaip šių.
Kaip kenkėjai tampa vis įgudęliais eksploduojant pasitikėjimą atvirųjų šaltinių ekosistemoje, būtina, kad kūrėjai išliktų budrūs ir skeptiški.
Papildomi faktai:
– „Checkmarx“ tyrėjai nustatė, kad kenkėjiška programas kampanija veikia jau daugiau nei metus, rodydami, kad atakantys yra atkaklūs ir toliau prisitaiko prie netikėto aptikimo.
– Dėl didelio vartotojų skaičiaus „Roblox“ platforma yra pagrindinė taikinė, todėl ji yra patrauklus tikslas užpuolikams, siekiantiems gauti prieigą prie jautrios informacijos ir kompromituoti sistemas.
– Užpuolikai naudoja įvairias technikas, tokią kaip prekės ženklų nukrapštymas, combokvarčiavimas ir žvaigždžių kėlimas, kurios apgaudinėja kūrėjus įdiegti savo kenksmingus paketus.
– Kenksmingi paketai sukurti pavogti jautrią informaciją, išjungti saugumo priemones ir atsisiųsti papildomas apkrovas, galiausiai suteikiant užpuolikui kontrolę turint suskaidytą sistemą.
– Kenkėjiška programa naudoja sudėtingas technikas apsimesti kaip teisėta „noblox.js“ biblioteka ir nutylėti savo kodą naudojo kinų hieroglifus.
– Užpuolikai manipuliuoja „Windows“ registru, kad užtikrintų kenkėjiškos programinės įrangos išlikimą užsikrėtusioje sistemoje.
– Kenkėjiška programa susisiekia su užpuolikų komandų ir kontrolės serveriu per „Discord“ pranešimų juostą, leidžiant jiems rinkti jautrią sistemos informaciją ir diegti nuotolinį prieigos įrankį.
Pagrindiniai klausimai ir atsakymai:
1. Kokia yra pagrindinė kenkėjiškos programinės įrangos kampanijos taikinė?
– Pagrindinė kenkėjiškos programinės įrangos kampanijos taikinė yra „Roblox“ platforma, žinoma dėl savo didelio vartotojų skaičiaus.
2. Kiek laiko veikia kenkėjiškos programos kampanija?
– Kenkėjiškos programos kampanija veikia jau daugiau nei metus.
3. Kokią techniką naudoja užpuolikai, kad apgautų kūrėjus įdiegti savo kenksmingus paketus?
– Užpuolikai naudoja technikas, tokią kaip prekės ženklų nukrapštymas, combokvarčiavimas ir žvaigždžių kėlimas, kuris priverčia kūrėjus įdiegti kenksmingus paketus.
4. Kaip kenkėjiška programa užtikrina savo išliekamumą užkrėstose sistemose?
– Kenkėjiška programa manipuliuoja „Windows“ registru, kad priverstų save kiekvieną kartą, kai atidaromas „Windows“ nustatymų programinis įrankis, užtikrindama savo išlikimą užkrėstoje sistemoje.
Pagrindinės iššūkiai ar kontroversijos:
– Vienas pagrindinių iššūkių yra kenkėjo infrastruktūros, įskaitant aktyvią „GitHub“ saugyklą, nuolatinis buvimas, kuris rodo potencialą tolesniam kenksmingų programų platinimui per svetimus paketus.
Privalumai:
– Straipsnis informuoja apie vykdomą kenkėjiškų programų kampaniją, kuri taiko „Roblox“ kūrėjus per „npm“ paketus.
– Jis akcentuoja atsargumą ir paketų kruopštų tikrinimą prieš juos įtraukiant į projektus, siekiant apsaugoti kūrėjus ir vartotojus nuo tiekybos grandinės atakų.
Trūkumai:
– Straipsnyje ne pateikiama konkreti informacija apie kenkėjiškos programos kampanijos poveikį ar padarinius „Roblox“ kūrėjams ar „Roblox“ platformai.
Pasiūlymas susijęs su nuoroda:
npm – Oficiali „npm“ svetainė, skirta „JavaScript“ paketų tvarkyklės.
The source of the article is from the blog aovotice.cz