Naujo bangos ataka kryptis į Roblox kūrėjus

3 rugsėjo 2024
New Wave of Attacks Target Roblox Developers

Hakeriai pradėjo naująsias atakų banga, skirtą kompromituoti „Roblox“ kūrėjų sistemas, naudodami suklastotas npm paketus. Šis naujausias įvykis vėl pabrėžia, kaip pavojų sukeliantys subjektai išnaudoja pasitikėjimą atvirojo kodo ekosistema siekdami platinėti kenkėjišką programinę įrangą.

Checkmarx tyrėjas Jehuda Gelb techniniame pranešime atskleidė, kad puolėjai sukūrė daugybę paketų, imituojančių plačiai naudojamą „noblox.js“ biblioteką. Šie paketai buvo specialiai sukurti norint pavogti jautrią informaciją ir kompromituoti sistemas. Gelb perspėjo, kad puolėjai naudojo tokius metodus kaip prekės ženklo pavogimas, domenų suksupimas ir „žvaigždutės“ pavogimas, siekdami sukurti įtikinamą oficialumo išvaizdą.

Ši kampanija atsiskleidė, kai „ReversingLabs“ pirmasis dokumentavo jos buvimą 2023 m. rugpjūtį. Greitai paaiškėjo, kad ši kampanija buvo peržaidimas prieš panašų puolimą, kuris įvyko dvejus metus anksčiau, 2021 m. spalio mėnesį, ir susijęs su stealer pavadinimu „Luna Token Grabber“ platinimu.

Šių metų metu buvo aptikta dar du kenksmingi paketai, pavadinti „noblox.js-proxy-server“ ir „noblox-ts“. Šie paketai imitavo populiarią „Node.js“ biblioteką ir platino stealer kenkėją ir nuotolinio prieigos trojano, vadinamo „Quasar RAT“.

Dar blogiau, puolėjai taip pat naudojo „žvaigždžių“ pavogimą – metodą, kai suklastoti paketai išvardinantys tikrąją „noblox.js“ saugyklą, suteikia jų kenksmingam tikslui papildomo patikimumo.

Šio puolimo naujausiai iteracijai įvykdyti kenksmingo kodo įterpimas į paketus, kurie veikia kaip pagrindai papildomiems apkrovoms aptarnauti, talpinami „GitHub“ saugykloje. Tuo pat metu jie vagia „Discord“ raktus, modifikuoja „Microsoft Defender Antivirus“ išimčių sąrašą norėdami išvengti aptikimo ir užtikrina nuolatinį veikimą keisdami „Windows“ registrų nustatymus.

Vienas pastebimas šios kenkėjiškos programinės įrangos bruožas yra jos nuolatinis pobūdis. Išnaudodama „Windows Settings“ programą, programa užtikrina tęstinį prieigą prie užkrėstos sistemos. Dėl šios priežasties kiekvieną kartą, kai naudotojas bando pasiekti „Windows Settings“ programą, jis nežinodamas įvykdo kenkėjišką programinę įrangą.

Šio puolimo grandinės galutinis tikslas yra įdiegti „Quasar RAT“, suteikiant įžvalgą puolėjui perdengtai sistemai. Pavogta informacija tada siunčiama į puolėjo komandinio kontrolės serverį per „Discord“ webhook’ą.

Nepaisant pastangų šalinti šiuos kenksmingus paketus, nuolat skelbiami nauji, keliais pabrėžiant svarbą dėmesingiems kūrėjams likti atsargiems šiai nepaliaujamai grėsmei.

Jeigu šis straipsnis jums įdomus, sekti mus „Twitter“ ir „LinkedIn“ platformose, kad gautumėte daugiau ekskluzyvaus turinio.

Don't Miss

European Startups Thrive with NVIDIA’s Inception Programme

Europos startuoliai klesti su „NVIDIA“ programa „Inception“.

NVIDIA „Inception“ programa tapo dideliu pranašumu tūkstantiams Europos startuolių dirbančių
Unlocking the Secrets Behind Monster Hunter Wilds: Are You Ready to Play?

Sure! The title translated to Lithuanian is: „Atrakinkite Monster Hunter Wilds paslaptis: Ar esate pasiruošę žaisti?”

Nuotykių jaudulys laukia! Monster Hunter Wilds prikausto žaidėjų dėmesį visur,