Nova Onda de Ataques Visam Desenvolvedores do Roblox

2 Setembro 2024
New Wave of Attacks Target Roblox Developers

Hackers estão lançando uma nova onda de ataques com o objetivo de comprometer os sistemas de desenvolvedores do Roblox usando pacotes npm fraudulentos. Esse último incidente destaca mais uma vez como os atores de ameaças estão explorando a confiança no ecossistema de código aberto para distribuir malware.

Em um relatório técnico, o pesquisador da Checkmarx, Yehuda Gelb, revelou que os atacantes criaram inúmeros pacotes que imitam a amplamente utilizada biblioteca ‘noblox.js’. Esses pacotes foram especificamente projetados para roubar dados sensíveis e comprometer sistemas. Gelb alertou que os atacantes utilizaram técnicas como brandjacking, combosquatting e starjacking para criar uma fachada convincente de legitimidade.

A campanha veio à tona quando a ReversingLabs documentou sua existência em agosto de 2023. Logo foi descoberto que essa campanha era uma repetição de um ataque semelhante que ocorreu dois anos antes, em outubro de 2021, que envolveu a distribuição de um stealer chamado Luna Token Grabber.

Ao longo deste ano, dois pacotes maliciosos adicionais, chamados noblox.js-proxy-server e noblox-ts, foram identificados. Esses pacotes se passavam pela popular biblioteca Node.js e entregavam malware stealer e um trojan de acesso remoto chamado Quasar RAT.

Para piorar, os atacantes também empregaram o starjacking, uma técnica em que os pacotes fraudulentos são listados sob o repositório noblox.js real, adicionando mais credibilidade à sua intenção maliciosa.

A última iteração desse ataque envolve a inserção de código malicioso nos pacotes, que funcionam como portas de entrada para servir payloads adicionais hospedados em um repositório do GitHub. Simultaneamente, eles roubam tokens do Discord, modificam a lista de exclusão do Microsoft Defender Antivirus para evitar detecção e estabelecem persistência alterando as configurações do Registro do Windows.

Uma característica notável desse malware é sua persistência. Ao explorar o aplicativo Configurações do Windows, o malware garante acesso sustentado ao sistema infectado. Como resultado, sempre que um usuário tenta acessar o aplicativo Configurações do Windows, eles executam o malware sem saber.

O objetivo final desta cadeia de ataque é implantar o Quasar RAT, concedendo ao atacante controle remoto sobre o sistema comprometido. As informações roubadas são então enviadas para o servidor de comando e controle do atacante por meio de um webhook do Discord.

Apesar dos esforços para derrubar esses pacotes maliciosos, novos continuam sendo publicados, destacando a importância de os desenvolvedores permanecerem vigilantes contra essa ameaça contínua.

Se você achou este artigo interessante, nos siga no Twitter e LinkedIn para mais conteúdo exclusivo.

Fatos Adicionais:
– Roblox é uma plataforma popular online onde os usuários podem criar e jogar jogos.
– A biblioteca ‘noblox.js’ é uma biblioteca amplamente utilizada pelos desenvolvedores do Roblox que fornece APIs e ferramentas para interagir com a plataforma Roblox.
– npm é um gerenciador de pacotes para JavaScript e é comumente usado pelos desenvolvedores para instalar e gerenciar dependências em seus projetos.
– Brandjacking é uma técnica onde os atacantes criam pacotes fraudulentos que imitam bibliotecas ou pacotes populares para enganar os usuários a baixá-los e instalá-los.
– Combosquatting é uma técnica onde os atacantes registram nomes de domínio semelhantes aos legítimos para enganar os usuários a visitar seus sites maliciosos.
– O termo “starjacking” refere-se à prática de atacantes fazerem upload de pacotes maliciosos sob o nome de um pacote legítimo em um repositório de código, como o npm.

Perguntas-Chave:
1. Como os hackers estão visando os sistemas de desenvolvedores do Roblox?
– Os hackers estão criando pacotes npm fraudulentos que imitam a biblioteca amplamente usada ‘noblox.js’ para roubar dados sensíveis e comprometer sistemas.

2. Que técnicas os atacantes estão usando para enganar os usuários?
– Os atacantes estão usando técnicas como brandjacking, combosquatting e starjacking para criar uma fachada convincente de legitimidade e distribuir malware.

3. Quando essa onda de ataques começou?
– A campanha foi documentada pela primeira vez em agosto de 2023, mas é uma repetição de um ataque semelhante que ocorreu em outubro de 2021.

Desafios/Controvérsias:
– Um grande desafio é a contínua criação e distribuição de novos pacotes maliciosos apesar dos esforços para removê-los. Isso destaca a necessidade de os desenvolvedores permanecerem vigilantes e tomarem precauções para proteger seus sistemas.

Vantagens:
– Ao estar ciente desses ataques e técnicas, os desenvolvedores podem tomar medidas para proteger seus sistemas e dados contra comprometimento.
– O relatório técnico do pesquisador da Checkmarx, Yehuda Gelb, fornece informações valiosas sobre as táticas usadas pelos atacantes nessa campanha específica.

Desvantagens:
– Esses ataques podem levar ao roubo de dados sensíveis e comprometimento de sistemas, potencialmente causando danos financeiros e de reputação a indivíduos e organizações.
– A contínua criação de novos pacotes maliciosos representa um desafio em termos de detecção e mitigação oportuna.

Links Relacionados:
Checkmarx Twitter
Checkmarx LinkedIn

Don't Miss

New GeForce Game Ready 560.94 WHQL Driver Enhances PC Gaming Experience

Novo driver GeForce Game Ready 560.94 WHQL aprimora a experiência de jogo no PC

A mais recente versão do driver GeForce Game Ready 560.94
Samsung Galaxy S23 FE Officially Confirmed for Launch in India

Samsung Galaxy S23 FE Confirmado Oficialmente para Lançamento na Índia

O tão aguardado Samsung Galaxy S23 FE (Fan Edition) foi