John Nowacky
Hackarar er lanserer ein ny bølgje av angrep retta mot å kompromittere systema til Roblox-utviklarar ved å bruke svindel npm-pakkar. Dette siste hendinga understrekar igjen korleis trusselaktørar utnyttar tillit i det open-source-økosystemet for å distribuere skadeleg programvare.
I ein teknisk rapport avslørte Checkmarx-forskar Yehuda Gelb at angriparane har skapt talrike pakkar som etterliknar den mykje brukte «noblox.js»-biblioteket. Desse pakkane er spesifikt utforma for å stjele sensitiv informasjon og kome seg inn på system. Gelb advarte om at angriparane har nytta teknikkar som brandjacking, combosquatting og starjacking for å skape ei overbevisande fasade av legitimitet.
Kampanjen kom for dagen då ReversingLabs først dokumenterte eksistensen i august 2023. Det vart raskt oppdaga at denne kampanjen var ei reprise av eit liknande angrep som skjedde to år tidlegare, i oktober 2021, som involverte distribusjonen av ein stjelar kalla Luna Token Grabber.
I løpet av året vart to tilleggs skadelege pakkar, kalla noblox.js-proxy-server og noblox-ts, identifisert. Desse pakkane etterlikna det populære Node.js-bibloteket og leverte stjelar skadeleg programvare og ein fjernkontroll-trojan kalla Quasar RAT.
For å gjere det verre har angriparane også nytta starjacking, ein teknikk der dei falske pakkane er listet under den faktiske noblox.js-repositoriet, som legg til ytterlegare truverd til deira skadelege intensjonar.
Den siste utgåva av dette angrepet involverer å legge inn skadeleg kode i pakkane, som fungerer som portaler for å levere tilleggs nyttelastingar lagra på eit GitHub-repositorium. Samstundes stel dei Discord-token, modifiserer eksklusjonslista til Microsoft Defender Antivirus for å unngå oppdaging og etablerer vedvarande tilgang ved å endre innstillingar i Windows-registeret.
Eit merkbart trekk ved denne skadelege programvaren er dens vedvarende natur. Ved å utnytte Windows-innstillingane-appen, sikrar skadevare seg stabil tilgang til det infiserte systemet. Som eit resultat, når ein brukar prøver å få tilgang til Windows-innstillingsappen, utfører dei uvitande den skadelege programvaren i staden.
Det endelege målet med denne angrepskjeda er å distribuere Quasar RAT, som gir angriparen fjernkontroll over det kompromitterlte systemet. Den stolne informasjonen blir deretter sendt til angriparens kommando-og-kontroll-server via ein Discord-webhook.
Trass i innsatsen for å ta ned desse skadelege pakkane, held nye fram med å bli publisert, noko som understrekar viktigheten av at utviklarar held seg vakne mot denne pågåande trusselen.
Om du fann denne artikkelen interessant, følg oss på Twitter og LinkedIn for meir eksklusivt innhald.
