Hackerii lansează un nou val de atacuri menite să compromită sistemele dezvoltatorilor de Roblox folosind pachete npm frauduloase. Acest incident recent subliniază încă o dată modul în care actorii de amenințare exploatează încrederea în ecosistemul open-source pentru a distribui malware.
Într-un raport tehnic, cercetătorul Checkmarx, Yehuda Gelb, a dezvăluit că atacatorii au creat numeroase pachete care imită biblioteca larg utilizată „noblox.js”. Aceste pachete au fost special concepute pentru a fura date sensibile și a compromite sistemele. Gelb a avertizat că atacatorii au folosit tehnici precum brandjacking, combosquatting și starjacking pentru a crea o fațadă convingătoare a legitimității.
Campania a ieșit la iveală când ReversingLabs a documentat pentru prima dată existența sa în august 2023. S-a descoperit rapid că această campanie a fost o reluare a unui atac similar care a avut loc cu doi ani înainte, în octombrie 2021, care implica distribuția unui ‘stealer’ numit Luna Token Grabber.
De-a lungul acestui an, au fost identificate două pachete malitioase adiționale numite noblox.js-proxy-server și noblox-ts. Aceste pachete au impersonat biblioteca Node.js populară și au livrat malware de tip ‘stealer’ și un troian de acces la distanță numit Quasar RAT.
Pentru a agrava situația, atacatorii au folosit și starjacking, o tehnică în care pachetele frauduloase sunt listate sub depozitul actual noblox.js, adăugând astfel o credibilitate suplimentară intențiilor lor malitioase.
Cea mai recentă iterație a acestui atac implică înglobarea codului malitios în pachete, care acționează ca gateway-uri pentru a servi payload-uri suplimentare găzduite pe un depozit GitHub. În același timp, acestea fură tokenuri Discord, modifică lista de excludere a Antivirusului Microsoft Defender pentru a evita detectarea și stabilesc persistența prin modificarea setărilor Registrului Windows.
Un aspect notabil al acestui malware este natura sa persistentă. Exploatând aplicația Setările Windows, malware-ul asigură accesul susținut la sistemul infectat. Astfel, ori de câte ori un utilizator încearcă să acceseze aplicația Setările Windows, ei execută neintenționat malware-ul.
Obiectivul final al acestei lanțuri de atac este de a implementa Quasar RAT, oferind atacatorului control la distanță asupra sistemului compromis. Informațiile furate sunt apoi trimise către serverul de comandă și control al atacatorului printr-un webhook Discord.
În ciuda eforturilor de eliminare a acestor pachete malitioase, altele noi continuă să fie publicate, subliniind importanța ca dezvoltatorii să rămână vigilenti împotriva acestei amenințări în desfășurare.
Dacă ai găsit acest articol interesant, urmărește-ne pe Twitter și LinkedIn pentru mai mult conținut exclusiv.
Fapte suplimentare:
– Roblox este o platformă online populară unde utilizatorii pot crea și juca jocuri.
– Biblioteca „noblox.js” este o bibliotecă larg utilizată de dezvoltatorii Roblox care oferă API-uri și instrumente pentru interacțiunea cu platforma Roblox.
– npm este un manager de pachete pentru JavaScript și este folosit frecvent de dezvoltatori pentru a instala și gestiona dependențele în proiectele lor.
– Brandjacking este o tehnică în care atacatorii creează pachete frauduloase ce imită biblioteci sau pachete populare pentru a păcăli utilizatorii să le descarce și să le instaleze.
– Combosquatting este o tehnică în care atacatorii înregistrează nume de domenii asemănătoare cu cele legitime pentru a păcăli utilizatorii să viziteze site-urile lor malitioase.
– Termenul „starjacking” se referă la practica atacatorilor de a încărca pachete malitioase sub numele unui pachet legitim într-un depozit de cod, cum ar fi npm.