Открытие исследователей по безопасности из Checkmarx обнаружило продолжающуюся кампанию вредоносных программ, нацеливаемых на разработчиков Roblox через вредоносные npm-пакеты. Атакующие выдают себя за популярную библиотеку «noblox.js» и опубликовали множество пакетов, предназначенных для кражи чувствительной информации и компрометации систем.
Кампания, которая активна уже более года, использует доверие к открытой экосистеме. Ее основная цель — платформа Roblox, известная своей огромной пользовательской базой более чем 70 миллионов активных пользователей ежедневно.
Несмотря на несколько снятий, продолжают появляться новые вредоносные пакеты, некоторые из которых до сих пор активны в реестре npm. Это настойчиво и вызывает беспокойство, так как увеличивается потенциал для дальнейших атак.
Для создания иллюзии законности атакующие используют различные техники, включая бренджекинг, комбосквоттинг и старжекинг. Они создают названия пакетов, похожие на легитимные расширения библиотеки «noblox.js», такие как «noblox.js-async» и «noblox.js-thread». Подражая образцам именования настоящих библиотек, недальновидные разработчики более вероятно устанавливают эти вредоносные пакеты. Кроме того, атакующие связывают свои пакеты с URL репозитория GitHub настоящей библиотеки, ложно увеличивая популярность и доверие к их пакетам.
Вредоносные программы внутри пакетов тщательно маскируются, атакующие воспроизводят структуру настоящей библиотеки «noblox.js». Однако они внедряют свой вредоносный код в файл «postinstall.js», тщательно затрудняя его анализ, даже используя китайские символы для обесценивания. Эта комбинация приемов создает убедительную фасад, повышая вероятность того, что разработчики ненароком установят и запустят вредоносное программное обеспечение.
После установки вредоносная программа эксплуатирует крюк «postinstall» npm, предназначенный для законного процесса установки, превращая его в шлюз для выполнения вредоносной программы. Код крадет токены аутентификации Discord, отключает меры безопасности, такие как Malwarebytes и Windows Defender, и загружает дополнительные нагрузки.
Также вредоносная программа использует сложную технику сохранения путей заражения, манипулируя реестром Windows, чтобы выполнять себя каждый раз при открытии приложения настроек Windows, обеспечивая тем самым свое выживание на зараженной системе. Она собирает чувствительную системную информацию и отправляет ее на сервер управления и команды атакующих через вебхук Discord. Завершающим ударом становится развертывание QuasarRAT, инструмента удаленного доступа, который предоставляет атакующему полный контроль над компрометированной системой.
Постоянное присутствие инфраструктуры атакующих, в частности активного репозитория GitHub, — это тревожный признак того, что через недогадливые пакеты может происходить дальнейшее распространение вредоносных программ.
Разработчикам, особенно тем, кто работает с пакетами, напоминающими популярные библиотеки типа «noblox.js», рекомендуется проявлять предусмотрительность. Тщательная проверка пакетов перед их внедрением в проекты крайне важна для защиты разработчиков и пользователей от продвинутых атак поставщиков, подобных этой.
Дополнительные факты:
— Исследователи Checkmarx обнаружили, что кампания вредоносных программ активна уже более года, что указывает на настойчивость атакующих и их способность адаптировать тактику, чтобы избежать обнаружения.
— Платформа Roblox в основном нацелена из-за своей большой пользовательской базы, что делает ее привлекательной целью для атакующих, стремящихся получить доступ к чувствительной информации и скомпрометировать системы.
— Атакующие используют различные техники, такие как бренджекинг, комбосквоттинг и старжекинг, чтобы обмануть разработчиков, устанавливающих их вредоносные пакеты.
— Вредоносные пакеты разработаны для кражи чувствительной информации, отключения мер безопасности и загрузки дополнительных нагрузок, в конечном итоге предоставляя атакующему контроль над скомпрометированной системой.
— Вредоносная программа использует сложные приемы для избежания обнаружения, включая маскировку под легитимную библиотеку «noblox.js» и изменение своего кода с использованием китайских символов для его затруднения.
— Атакующие манипулируют реестром Windows, чтобы обеспечить жизнеспособность вредоносной программы на зараженной системе.
— Вредоносная программа общается с сервером управления и команд через вебхук Discord, позволяя им собирать чувствительную системную информацию и разворачивать инструменты удаленного доступа.
Ключевые вопросы и ответы:
1. Какова основная цель кампании вредоносных программ?
— Основная цель кампании вредоносных программ – это платформа Roblox, известная своей большой пользовательской базой.
2. Как долго длится кампания вредоносных программ?
— Кампания вредоносных программ активна уже более года.
3. Какие техники используют атакующие, чтобы обмануть разработчиков и установить свои вредоносные пакеты?
— Атакующие используют техники, такие как бренджекинг, комбосквоттинг и старжекинг, чтобы создавать имена пакетов, похожие на легитимные расширения библиотеки «noblox.js».
4. Как вредоносная программа обеспечивает свою жизнеспособность на зараженных системах?
— Вредоносная программа манипулирует реестром Windows, чтобы выполнять себя каждый раз при открытии приложения настроек Windows, обеспечивая тем самым свое выживание на зараженной системе.
Ключевые вызовы или противоречия:
— Одним из ключевых вызовов является постоянное присутствие инфраструктуры атакующих, включая активный репозиторий GitHub, что указывает на возможность дальнейшего распространения вредоносных программ через недогадливые пакеты.
Преимущества:
— Статья повышает осведомленность об активной кампании вредоносных программ, нацеленной на разработчиков Roblox через npm-пакеты.
— Она подчеркивает важность осторожности и тщательной проверки пакетов перед их внедрением в проекты для защиты разработчиков и пользователей от атак поставщиков.
Недостатки:
— Статья не содержит конкретной информации о последствиях кампании вредоносных программ для разработчиков Roblox или платформы Roblox.
Предлагаемая ссылка:
npm — Официальный веб-сайт npm, менеджера пакетов для JavaScript.