Arthur Herring
Ostatnie odkrycie dokonane przez specjalistów ds. bezpieczeństwa w Checkmarx ujawniło trwającą kampanię malware’u, która jest skierowana do deweloperów Roblox poprzez złośliwe pakiety npm. Atakujący podszywają się pod popularną bibliotekę „noblox.js” i opublikowali liczne pakiety zaprojektowane do kradzieży wrażliwych informacji i kompromitowania systemów.
Kampania, która trwa od ponad roku, wykorzystuje zaufanie do ekosystemu open-source. Jej głównym celem jest platforma Roblox, znana ze swojego ogromnego grona użytkowników, z którymi codziennie jest aktywnych ponad 70 milionów.
Mimo kilku usunięć, pojawiają się nowe złośliwe pakiety, z których niektóre wciąż są aktywne w rejestrze npm. Ta wytrwałość jest zaniepokająca, gdyż zwiększa potencjał dla dalszych ataków.
Aby stworzyć iluzję legalności, atakujący wykorzystują różne techniki, takie jak brandjacking, combosquatting i starjacking. Tworzą nazwy pakietów, które przypominają rozszerzenia biblioteki „noblox.js”, jak na przykład „noblox.js-async” i „noblox.js-thread.” Poprzez naśladowanie wzorców nazewniczych autentycznych bibliotek, nieświadomi deweloperzy są bardziej skłonni do instalowania tych złośliwych pakietów. Dodatkowo, atakujący łączą swoje pakiety z adresem URL repozytorium na GitHubie autentycznej biblioteki, fałszywie zwiększając popularność i zaufanie do swoich pakietów.
Malware wewnątrz pakietów jest starannie ukryty, gdyż atakujący naśladują strukturę autentycznej biblioteki „noblox.js”. Jednak wprowadzają swoją złośliwą kodę w pliku „postinstall.js”, silnie ją zaciemniając, nawet używając chińskich znaków, aby odstraszyć analizę. Ta kombinacja technik tworzy przekonującą fasadę, zwiększając szanse na nieumyślne zainstalowanie i wykonanie złośliwego oprogramowania przez deweloperów.
Po zainstalowaniu, malware wykorzystuje mechanizm „postinstall” w npm, który jest przeznaczony do legalnych procesów instalacyjnych, zamieniając go w bramę dla wykonania złośliwego oprogramowania. Kodeks kradnie tokeny uwierzytelniające Discorda, wyłącza środki bezpieczeństwa takie jak Malwarebytes i Windows Defender oraz pobiera dodatkowe ładunki.
Malware wykorzystuje również zaawansowaną technikę trwałości, manipulując rejestr Windows w celu uruchamiania siebie za każdym razem, gdy aplikacja Ustawienia systemu Windows jest otwarta, aby zapewnić swoje przetrwanie na zainfekowanym systemie. Zbiera wrażliwe informacje systemowe i wysyła je na serwer komendowo-kontrolny atakujących za pomocą webhooka Discorda. Ostatecznym ciosem jest wdrożenie narzędzia zdalnego dostępu QuasarRAT, które udziela atakującemu wszechstronnej kontroli nad skompromitowanym systemem.
Trwająca obecność infrastruktury atakującego, w tym aktywnego repozytorium na GitHubie, jest niepokojącym znakiem, że może zachodzić dalsze rozpowszechnianie malware’u poprzez nieświadome pakiety.
Deweloperów, zwłaszcza tych pracujących z pakietami przypominającymi popularne biblioteki jak „noblox.js,” zaleca się zachowanie ostrożności. Konieczne jest staranne sprawdzenie pakietów przed ich włączeniem do projektów, co jest kluczowe dla ochrony deweloperów i użytkowników przed zaawansowanymi atakami na łańcuch dostaw, podobnymi do tego.
Jako atakujący stają się coraz lepsi w wykorzystywaniu zaufania w ekosystemie open-source, ważne jest, aby deweloperzy pozostali czujni i krytyczni.
