Nowa kampania złośliwego oprogramowania kieruje się do programistów tworzących gry na platformie Roblox poprzez paczki NPM.

2 września 2024
New Malware Campaign Targets Roblox Developers Through NPM Packages

Ostatnie odkrycie dokonane przez specjalistów ds. bezpieczeństwa w Checkmarx ujawniło trwającą kampanię malware’u, która jest skierowana do deweloperów Roblox poprzez złośliwe pakiety npm. Atakujący podszywają się pod popularną bibliotekę „noblox.js” i opublikowali liczne pakiety zaprojektowane do kradzieży wrażliwych informacji i kompromitowania systemów.

Kampania, która trwa od ponad roku, wykorzystuje zaufanie do ekosystemu open-source. Jej głównym celem jest platforma Roblox, znana ze swojego ogromnego grona użytkowników, z którymi codziennie jest aktywnych ponad 70 milionów.

Mimo kilku usunięć, pojawiają się nowe złośliwe pakiety, z których niektóre wciąż są aktywne w rejestrze npm. Ta wytrwałość jest zaniepokająca, gdyż zwiększa potencjał dla dalszych ataków.

Aby stworzyć iluzję legalności, atakujący wykorzystują różne techniki, takie jak brandjacking, combosquatting i starjacking. Tworzą nazwy pakietów, które przypominają rozszerzenia biblioteki „noblox.js”, jak na przykład „noblox.js-async” i „noblox.js-thread.” Poprzez naśladowanie wzorców nazewniczych autentycznych bibliotek, nieświadomi deweloperzy są bardziej skłonni do instalowania tych złośliwych pakietów. Dodatkowo, atakujący łączą swoje pakiety z adresem URL repozytorium na GitHubie autentycznej biblioteki, fałszywie zwiększając popularność i zaufanie do swoich pakietów.

Malware wewnątrz pakietów jest starannie ukryty, gdyż atakujący naśladują strukturę autentycznej biblioteki „noblox.js”. Jednak wprowadzają swoją złośliwą kodę w pliku „postinstall.js”, silnie ją zaciemniając, nawet używając chińskich znaków, aby odstraszyć analizę. Ta kombinacja technik tworzy przekonującą fasadę, zwiększając szanse na nieumyślne zainstalowanie i wykonanie złośliwego oprogramowania przez deweloperów.

Po zainstalowaniu, malware wykorzystuje mechanizm „postinstall” w npm, który jest przeznaczony do legalnych procesów instalacyjnych, zamieniając go w bramę dla wykonania złośliwego oprogramowania. Kodeks kradnie tokeny uwierzytelniające Discorda, wyłącza środki bezpieczeństwa takie jak Malwarebytes i Windows Defender oraz pobiera dodatkowe ładunki.

Malware wykorzystuje również zaawansowaną technikę trwałości, manipulując rejestr Windows w celu uruchamiania siebie za każdym razem, gdy aplikacja Ustawienia systemu Windows jest otwarta, aby zapewnić swoje przetrwanie na zainfekowanym systemie. Zbiera wrażliwe informacje systemowe i wysyła je na serwer komendowo-kontrolny atakujących za pomocą webhooka Discorda. Ostatecznym ciosem jest wdrożenie narzędzia zdalnego dostępu QuasarRAT, które udziela atakującemu wszechstronnej kontroli nad skompromitowanym systemem.

Trwająca obecność infrastruktury atakującego, w tym aktywnego repozytorium na GitHubie, jest niepokojącym znakiem, że może zachodzić dalsze rozpowszechnianie malware’u poprzez nieświadome pakiety.

Deweloperów, zwłaszcza tych pracujących z pakietami przypominającymi popularne biblioteki jak „noblox.js,” zaleca się zachowanie ostrożności. Konieczne jest staranne sprawdzenie pakietów przed ich włączeniem do projektów, co jest kluczowe dla ochrony deweloperów i użytkowników przed zaawansowanymi atakami na łańcuch dostaw, podobnymi do tego.

Jako atakujący stają się coraz lepsi w wykorzystywaniu zaufania w ekosystemie open-source, ważne jest, aby deweloperzy pozostali czujni i krytyczni.

Don't Miss

Pokemon Plushies Inspired by Legendary Beasts Now Available

Pluszowe Pokemony zainspirowane legendarnymi bestiami już dostępne

Uwaga, fani Pokemonów! Firma Pokemon Company właśnie zaprezentowała ekscytującą nową
New Horizons for iPhone Users in Europe

Nowe horyzonty dla użytkowników iPhone’a w Europie

Znaczące zmiany są na horyzoncie dla użytkowników iPhone’ów w Europie,