Nová vlna útokov zasiahla vývojárov hry Roblox.

3 septembra 2024
New Wave of Attacks Target Roblox Developers

Hackéri sa snažia spustiť novú vlnu útokov zameraných na kompromitovanie systémov vývojárov Robloxu pomocou podvodných npm balíčkov. Tento najnovší incident opäť zdôrazňuje, ako útočníci zneužívajú dôveru v ekosystéme s otvoreným zdrojovým kódom na distribúciu malvéru.

V technickej správe od výskumníka Checkmarx Yehudy Gelba bolo zistené, že útočníci vytvorili množstvo balíčkov, ktoré imitujú široko používanú knižnicu ‚noblox.js‘. Tieto balíčky boli špeciálne určené na krádež citlivých údajov a kompromitáciu systémov. Gelb varoval, že útočníci využili techniky ako brandjacking, combosquatting a starjacking na vytvorenie presvedčivého zdania legitímnosti.

Kampaň sa dostala na verejnosť, keď sa ReversingLabs prvýkrát zmienil o jej existencii v auguste 2023. Čoskoro bolo zistené, že táto kampaň bola opakovanie podobného útoku, ktorý sa udial pred dvoma rokmi v októbri 2021, a ktorý zahŕňal distribúciu stealera s názvom Luna Token Grabber.

Počas tohto roka boli identifikované ďalšie dva zlé balíčky s názvami noblox.js-proxy-server a noblox-ts. Tieto balíčky sa vydávali za populárnu knižnicu Node.js a dodávali malvér a vzdialený prístupový trojan nazvaný Quasar RAT.

Na zhoršenie vecí, útočníci taktiež použili starjacking, techniku, kde podvodné balíčky sú zapísané pod skutočným repozitárom noblox.js, čím dodávajú ďalšiu dôveryhodnosť ich zlomyseľným zámerom.

Najnovší variant tohto útoku zahŕňa vloženie škodlivého kódu do balíčkov, ktoré slúžia ako brány pre poskytovanie ďalších nákladov hostovaných na repozitári GitHub. Súčasne kradnú Discord tokeny, upravujú zoznam vylúčenia Microsoft Defender Antivírusu na vyhnutie sa detekcii a zabezpečujú trvanlivosť zmenou nastavení registra Windows.

Jedným dôležitým prvkom tejto malvérovej hrozby je jej trvalý charakter. Využitím aplikácie Nastavenia systému Windows zabezpečuje malvér trvalý prístup k infikovanému systému. Tým pádom pokaždé, keď používateľ skúša pristúpiť k aplikácii Nastavenia systému Windows, nevedome spustí tento malvér.

Ultimátnym cieľom tohto reťazca útokov je nasadiť Quasar RAT, umožňujúc útočníkovi vzdialenú kontrolu nad kompromitovaným systémom. Ukradnuté informácie sú potom odosielané na server s príkazmi a kontrolou útočníka cez Discord webhook.

Napriek snahám odstrániť tieto zlé balíčky, stále sú publikované nové, čo zdôrazňuje dôležitosť toho, aby vývojári zostávali ostražití proti tejto trvajúcej hrozbe.

Ak vás tento článok zaujal, sledujte nás na Twitteri a LinkedIn pre viac exkluzívneho obsahu.

Dodatočné informácie:
– Roblox je populárna online platforma, kde používatelia môžu vytvárať a hrať hry.
– Knižnica ‚noblox.js‘ je široko využívaná knižnica vývojárov Robloxu, ktorá poskytuje API a nástroje na interakciu s platformou Roblox.
– npm je správca balíčkov pre JavaScript a je bežne používaný vývojármi na inštaláciu a správu závislostí vo svojich projektoch.
– Brandjacking je technika, ktorou útočníci vytvárajú podvodné balíčky, ktoré napodobňujú populárne knižnice alebo balíčky, aby zviedli užívateľov na ich stiahnutie a inštaláciu.
– Combosquatting je technika, kde útočníci registrovali doménové mená podobné tým legitimným s cieľom oklamať užívateľov a návštevu ich škodlivých webových stránok.
– Pojem „starjacking“ sa vzťahuje na praktiku útočníkov nahrania škodlivých balíčkov pod názvom legitímneho balíčka v repozitári kódu, ako je napríklad npm.

Kľúčové otázky:
1. Ako si hackéri cieľovo zvolili systémy vývojárov Robloxu?
– Hackéri vytvárali podvodné npm balíčky, ktoré imitujú široko používanú knižnicu ‚noblox.js‘ na krádež citlivých údajov a kompromitáciu systémov.

2. Aké techniky útočníci využívajú na oklamávanie užívateľov?
– Útočníci využívajú techniky ako brandjacking, combosquatting a starjacking na vytvorenie presvedčivej fády legitímnosti a distribúciu malvéru.

3. Kedy začala táto vlna útokov?
– Kampaň bola prvýkrát zdokumentovaná v auguste 2023, ale je opakovaním podobného útoku, ktorý sa udial v októbri 2021.

Kľúčové výzvy/Kontroverzie:
– Jednou kľúčovou výzvou je neustále vytváranie a distribúcia nových zlých balíčkov napriek snahám ich odstrániť. Tým sa zdôrazňuje potreba, aby vývojári zostávali ostražití a prijali opatrenia na ochranu svojich systémov.

Výhody:
– Tým, že poznajú tieto útoky a ich techniky, môžu vývojári prijať kroky na ochranu svojich systémov a údajov pred kompromitáciou.
– Technická správa výskumníka Checkmarx Yehudu Gelba poskytuje cenné poznatky o taktikách, ktoré útočníci využívajú v tejto konkrétnej kampani.

Nevýhody:
– Tieto útoky môžu viesť ku krádeži citlivých údajov a kompromitácii systémov, čo by mohlo spôsobiť finančné a reputačné škody jednotlivcom a organizáciám.
– Neustále vytváranie nových zlých balíčkov prináša výzvu včasného odhalenia a zmierňovania.

Súvisiace odkazy:
Checkmarx Twitter
Checkmarx LinkedIn

Don't Miss