John Nowacky
Hakeriai pradėjo naująsias atakų banga, skirtą kompromituoti „Roblox“ kūrėjų sistemas, naudodami suklastotas npm paketus. Šis naujausias įvykis vėl pabrėžia, kaip pavojų sukeliantys subjektai išnaudoja pasitikėjimą atvirojo kodo ekosistema siekdami platinėti kenkėjišką programinę įrangą.
Checkmarx tyrėjas Jehuda Gelb techniniame pranešime atskleidė, kad puolėjai sukūrė daugybę paketų, imituojančių plačiai naudojamą „noblox.js“ biblioteką. Šie paketai buvo specialiai sukurti norint pavogti jautrią informaciją ir kompromituoti sistemas. Gelb perspėjo, kad puolėjai naudojo tokius metodus kaip prekės ženklo pavogimas, domenų suksupimas ir „žvaigždutės“ pavogimas, siekdami sukurti įtikinamą oficialumo išvaizdą.
Ši kampanija atsiskleidė, kai „ReversingLabs“ pirmasis dokumentavo jos buvimą 2023 m. rugpjūtį. Greitai paaiškėjo, kad ši kampanija buvo peržaidimas prieš panašų puolimą, kuris įvyko dvejus metus anksčiau, 2021 m. spalio mėnesį, ir susijęs su stealer pavadinimu „Luna Token Grabber“ platinimu.
Šių metų metu buvo aptikta dar du kenksmingi paketai, pavadinti „noblox.js-proxy-server“ ir „noblox-ts“. Šie paketai imitavo populiarią „Node.js“ biblioteką ir platino stealer kenkėją ir nuotolinio prieigos trojano, vadinamo „Quasar RAT“.
Dar blogiau, puolėjai taip pat naudojo „žvaigždžių“ pavogimą – metodą, kai suklastoti paketai išvardinantys tikrąją „noblox.js“ saugyklą, suteikia jų kenksmingam tikslui papildomo patikimumo.
Šio puolimo naujausiai iteracijai įvykdyti kenksmingo kodo įterpimas į paketus, kurie veikia kaip pagrindai papildomiems apkrovoms aptarnauti, talpinami „GitHub“ saugykloje. Tuo pat metu jie vagia „Discord“ raktus, modifikuoja „Microsoft Defender Antivirus“ išimčių sąrašą norėdami išvengti aptikimo ir užtikrina nuolatinį veikimą keisdami „Windows“ registrų nustatymus.
Vienas pastebimas šios kenkėjiškos programinės įrangos bruožas yra jos nuolatinis pobūdis. Išnaudodama „Windows Settings“ programą, programa užtikrina tęstinį prieigą prie užkrėstos sistemos. Dėl šios priežasties kiekvieną kartą, kai naudotojas bando pasiekti „Windows Settings“ programą, jis nežinodamas įvykdo kenkėjišką programinę įrangą.
Šio puolimo grandinės galutinis tikslas yra įdiegti „Quasar RAT“, suteikiant įžvalgą puolėjui perdengtai sistemai. Pavogta informacija tada siunčiama į puolėjo komandinio kontrolės serverį per „Discord“ webhook’ą.
Nepaisant pastangų šalinti šiuos kenksmingus paketus, nuolat skelbiami nauji, keliais pabrėžiant svarbą dėmesingiems kūrėjams likti atsargiems šiai nepaliaujamai grėsmei.
Jeigu šis straipsnis jums įdomus, sekti mus „Twitter“ ir „LinkedIn“ platformose, kad gautumėte daugiau ekskluzyvaus turinio.
