Hackers lanceren een nieuwe golf van aanvallen gericht op het compromitteren van systemen van Roblox-ontwikkelaars door het gebruik van frauduleuze npm-packages. Dit recente incident benadrukt eens te meer hoe kwaadwillende actoren vertrouwen in het open-source ecosysteem misbruiken om malware te verspreiden.
In een technisch rapport onthulde Checkmarx-onderzoeker Yehuda Gelb dat de aanvallers talrijke packages hebben gecreëerd die de veelgebruikte ‘noblox.js’-bibliotheek imiteren. Deze packages zijn specifiek ontworpen om gevoelige data te stelen en systemen te compromitteren. Gelb waarschuwde dat de aanvallers technieken zoals brandjacking, combosquatting en starjacking hebben gebruikt om een overtuigende façade van legitimiteit te creëren.
De campagne kwam aan het licht toen ReversingLabs deze voor het eerst documenteerde in augustus 2023. Al snel werd ontdekt dat deze campagne een herhaling was van een soortgelijke aanval die twee jaar eerder plaatsvond, in oktober 2021, waarbij de stealer genaamd Luna Token Grabber werd verspreid.
Gedurende dit jaar werden nog twee kwaadaardige packages geïdentificeerd, genaamd noblox.js-proxy-server en noblox-ts. Deze packages deden zich voor als de populaire Node.js-bibliotheek en leverden stealer-malware en een remote access trojan genaamd Quasar RAT.
Om het nog erger te maken hebben de aanvallers ook starjacking toegepast, een techniek waarbij de frauduleuze packages worden vermeld onder de daadwerkelijke noblox.js-repository, wat hun kwaadaardige bedoelingen geloofwaardiger maakt.
De nieuwste versie van deze aanval omvat het inbedden van kwaadaardige code in de packages, die dienen als gateways voor het serveren van aanvullende payloads die gehost worden op een GitHub-repository. Tegelijkertijd stelen ze Discord-tokens, wijzigen ze de uitsluitingslijst van Microsoft Defender Antivirus om detectie te ontwijken, en vestigen ze persistentie door Windows Registry-instellingen te wijzigen.
Een opvallend kenmerk van deze malware is zijn persistente aard. Door de Windows-instellingen app te misbruiken, zorgt de malware voor voortdurende toegang tot het geïnfecteerde systeem. Hierdoor voert een gebruiker onbewust de malware uit telkens wanneer hij probeert toegang te krijgen tot de Windows-instellingen app.
Het uiteindelijke doel van deze aanvalsketen is om Quasar RAT te implementeren, waardoor de aanvaller op afstand controle kan krijgen over het gecompromitteerde systeem. De gestolen informatie wordt vervolgens via een Discord-webhook naar de command-and-control server van de aanvaller gestuurd.
Ondanks inspanningen om deze kwaadaardige packages uit de lucht te halen, blijven er nieuwe gepubliceerd worden, wat het belang benadrukt van ontwikkelaars om waakzaam te blijven tegen deze voortdurende dreiging.
Als u dit artikel interessant vond, volg ons dan op Twitter en LinkedIn voor meer exclusieve inhoud.
Aanvullende Feiten:
– Roblox is een populair online platform waar gebruikers games kunnen maken en spelen.
– De ‘noblox.js’-bibliotheek is een veelgebruikte bibliotheek door Roblox-ontwikkelaars die API’s en tools biedt om te communiceren met het Roblox-platform.
– npm is een pakketbeheerder voor JavaScript en wordt vaak door ontwikkelaars gebruikt om afhankelijkheden te installeren en beheren in hun projecten.
– Brandjacking is een techniek waarbij aanvallers frauduleuze packages creëren die populaire bibliotheken of packages nabootsen om gebruikers te misleiden ze te downloaden en installeren.
– Combosquatting is een techniek waarbij aanvallers domeinnamen registreren die lijken op legitieme, om gebruikers te misleiden hun kwaadwillige websites te bezoeken.
– De term “starjacking” verwijst naar de praktijk waarbij aanvallers kwaadaardige packages uploaden onder de naam van een legitieme package in een code repository, zoals npm.
Belangrijke Vragen:
1. Hoe richten hackers zich op systemen van Roblox-ontwikkelaars?
– Hackers creëren frauduleuze npm-packages die de veelgebruikte ‘noblox.js’-bibliotheek imiteren om gevoelige data te stelen en systemen te compromitteren.
2. Welke technieken gebruiken de aanvallers om gebruikers te misleiden?
– De aanvallers gebruiken technieken zoals brandjacking, combosquatting en starjacking om een overtuigende façade van legitimiteit te creëren en malware te verspreiden.
3. Wanneer begonnen deze golf van aanvallen?
– De campagne werd voor het eerst gedocumenteerd in augustus 2023, maar was een herhaling van een soortgelijke aanval die plaatsvond in oktober 2021.
Belangrijke Uitdagingen/Controverses:
– Een belangrijke uitdaging is de voortdurende creatie en distributie van nieuwe kwaadaardige packages ondanks inspanningen om ze uit de lucht te halen. Dit benadrukt de noodzaak voor ontwikkelaars om waakzaam te blijven en voorzorgsmaatregelen te nemen om hun systemen te beschermen.
Voordelen:
– Door zich bewust te zijn van deze aanvallen en hun technieken, kunnen ontwikkelaars stappen ondernemen om hun systemen en data te beschermen tegen compromittering.
– Het technische rapport van Checkmarx-onderzoeker Yehuda Gelb biedt waardevolle inzichten in de tactieken die door aanvallers worden gebruikt in deze specifieke campagne.
Nadelen:
– Deze aanvallen kunnen leiden tot diefstal van gevoelige data en compromittering van systemen, wat mogelijk financiële en reputatieschade kan veroorzaken bij individuen en organisaties.
– De voortdurende creatie van nieuwe kwaadaardige packages vormt een uitdaging wat betreft tijdige detectie en aanpak.
Gerelateerde Links:
– Checkmarx Twitter
– Checkmarx LinkedIn