Nowa kampania złośliwego oprogramowania kieruje się do programistów tworzących gry na platformie Roblox poprzez paczki NPM.

2 września 2024
New Malware Campaign Targets Roblox Developers Through NPM Packages

Ostatnie odkrycie dokonane przez specjalistów ds. bezpieczeństwa w Checkmarx ujawniło trwającą kampanię malware’u, która jest skierowana do deweloperów Roblox poprzez złośliwe pakiety npm. Atakujący podszywają się pod popularną bibliotekę „noblox.js” i opublikowali liczne pakiety zaprojektowane do kradzieży wrażliwych informacji i kompromitowania systemów.

Kampania, która trwa od ponad roku, wykorzystuje zaufanie do ekosystemu open-source. Jej głównym celem jest platforma Roblox, znana ze swojego ogromnego grona użytkowników, z którymi codziennie jest aktywnych ponad 70 milionów.

Mimo kilku usunięć, pojawiają się nowe złośliwe pakiety, z których niektóre wciąż są aktywne w rejestrze npm. Ta wytrwałość jest zaniepokająca, gdyż zwiększa potencjał dla dalszych ataków.

Aby stworzyć iluzję legalności, atakujący wykorzystują różne techniki, takie jak brandjacking, combosquatting i starjacking. Tworzą nazwy pakietów, które przypominają rozszerzenia biblioteki „noblox.js”, jak na przykład „noblox.js-async” i „noblox.js-thread.” Poprzez naśladowanie wzorców nazewniczych autentycznych bibliotek, nieświadomi deweloperzy są bardziej skłonni do instalowania tych złośliwych pakietów. Dodatkowo, atakujący łączą swoje pakiety z adresem URL repozytorium na GitHubie autentycznej biblioteki, fałszywie zwiększając popularność i zaufanie do swoich pakietów.

Malware wewnątrz pakietów jest starannie ukryty, gdyż atakujący naśladują strukturę autentycznej biblioteki „noblox.js”. Jednak wprowadzają swoją złośliwą kodę w pliku „postinstall.js”, silnie ją zaciemniając, nawet używając chińskich znaków, aby odstraszyć analizę. Ta kombinacja technik tworzy przekonującą fasadę, zwiększając szanse na nieumyślne zainstalowanie i wykonanie złośliwego oprogramowania przez deweloperów.

Po zainstalowaniu, malware wykorzystuje mechanizm „postinstall” w npm, który jest przeznaczony do legalnych procesów instalacyjnych, zamieniając go w bramę dla wykonania złośliwego oprogramowania. Kodeks kradnie tokeny uwierzytelniające Discorda, wyłącza środki bezpieczeństwa takie jak Malwarebytes i Windows Defender oraz pobiera dodatkowe ładunki.

Malware wykorzystuje również zaawansowaną technikę trwałości, manipulując rejestr Windows w celu uruchamiania siebie za każdym razem, gdy aplikacja Ustawienia systemu Windows jest otwarta, aby zapewnić swoje przetrwanie na zainfekowanym systemie. Zbiera wrażliwe informacje systemowe i wysyła je na serwer komendowo-kontrolny atakujących za pomocą webhooka Discorda. Ostatecznym ciosem jest wdrożenie narzędzia zdalnego dostępu QuasarRAT, które udziela atakującemu wszechstronnej kontroli nad skompromitowanym systemem.

Trwająca obecność infrastruktury atakującego, w tym aktywnego repozytorium na GitHubie, jest niepokojącym znakiem, że może zachodzić dalsze rozpowszechnianie malware’u poprzez nieświadome pakiety.

Deweloperów, zwłaszcza tych pracujących z pakietami przypominającymi popularne biblioteki jak „noblox.js,” zaleca się zachowanie ostrożności. Konieczne jest staranne sprawdzenie pakietów przed ich włączeniem do projektów, co jest kluczowe dla ochrony deweloperów i użytkowników przed zaawansowanymi atakami na łańcuch dostaw, podobnymi do tego.

Jako atakujący stają się coraz lepsi w wykorzystywaniu zaufania w ekosystemie open-source, ważne jest, aby deweloperzy pozostali czujni i krytyczni.

Don't Miss

The High Cost of The Sims 4’s DLCs: How Much Does the Full Experience Really Cost?

Wysokie koszty dodatków do The Sims 4: Ile naprawdę kosztuje pełne doświadczenie?

The Sims 4 to szeroko popularna gra symulacyjna życia, znana
Upcoming Departures from PlayStation Plus: What You Need to Know

Nadchodzące opuszczenia z PlayStation Plus: Co musisz wiedzieć

Usługa PlayStation Plus w przyszłym miesiącu wprowadzi znaczące zmiany, a