En nylig upptäckt av säkerhetsforskare på Checkmarx har avslöjat en pågående malware-kampanj som riktar sig mot Roblox-utvecklare genom skadliga npm-paket. Angriparna utger sig för att vara den populära ”noblox.js”-biblioteket och har publicerat ett flertal paket som är utformade för att stjäla känslig information och kompromettera system.
Kampanjen, som har varit aktiv i över ett år, utnyttjar det förtroende som finns i den öppen källkodsbaserade ekosystemet. Dess primära mål är Roblox-plattformen, känd för sin massiva användarbas på över 70 miljoner dagliga aktiva användare.
Trots flera nedtagningar fortsätter nya skadliga paket att dyka upp, varav vissa fortfarande är aktiva på npm-registret. Denna ihållighet är oroande, eftersom den ökar potentialen för ytterligare attacker.
För att skapa en illusion av legitimitet har angriparna använt olika tekniker, inklusive företagskapning, combosquatting och stjälkning av stjärnor. De skapar paketnamn som liknar legitima utvidgningar av ”noblox.js”-biblioteket, såsom ”noblox.js-async” och ”noblox.js-thread.” Genom att härma namnsättningsmönstren hos genuina bibliotek är det mer sannolikt att ovetande utvecklare installerar dessa skadliga paket. Dessutom länkar angriparna sina paket till GitHub-repositoriets URL för det legitima biblioteket, vilket falskt ökar deras paket popularitet och trovärdighet.
Malwaren inom paketen är noggrant förklädd, med angriparna som replikerar strukturen hos det legitima ”noblox.js”-biblioteket. De introducerar dock sin skadliga kod inom filen ”postinstall.js”, kraftigt fördold, till och med med användning av kinesiska tecken för att avskräcka analys. Denna kombination av tekniker skapar en övertygande fasad som ökar chanserna för utvecklare att oavsiktligt installera och exekvera den skadliga programvaran.
När den är installerad utnyttjar malwaren npms ”postinstall”-krok, som är avsedd för legitima installationsprocesser, och förvandlar den till en gateway för malwarens exekvering. Koden stjäl Discord-autentiseringsnycklar, inaktiverar säkerhetsåtgärder som Malwarebytes och Windows Defender, och hämtar ytterligare laster.
Malwaren använder också en sofistikerad ihållande teknik genom att manipulera Windows-registret för att exekvera sig själv varje gång Windows Settings-appen öppnas, säkerställande dess överlevnad på det infekterade systemet. Den samlar in känslig systeminformation och skickar den till angriparnas kommando- och kontrollserver via en Discord webhook. Slutligt kommer det sista slaget med distributionen av QuasarRAT, ett fjärråtkomstverktyg som ger angriparen omfattande kontroll över det komprometterade systemet.
Den pågående närvaron av angriparnas infrastruktur, särskilt ett aktivt GitHub-repositorium, är ett alarmerande tecken på att ytterligare distribution av malware kan äga rum genom ovetande paket.
Utvecklare, särskilt de som arbetar med paket som liknar populära bibliotek som ”noblox.js,” rekommenderas att vara försiktiga. Det är avgörande att noggrant granska paket innan de införlivas i projekt för att skydda utvecklare och användare mot sofistikerade försörjningskedjeattacker som denna.
Ytterligare fakta:
– Checkmarx-forskarna upptäckte att malware-kampanjen har varit aktiv i över ett år, vilket indikerar att angriparna är ihålliga och fortsätter att anpassa sina taktiker för att undvika upptäckt.
– Roblox-plattformen är huvudsakligen riktad på grund av dess stora användarbas, vilket gör den till ett attraktivt mål för angripare som vill få tillgång till känslig information och kompromettera system.
– Angriparna använder olika tekniker som företagskapning, combosquatting och stjälkning av stjärnor för att lura utvecklare att installera sina skadliga paket.
– De skadliga paketen är utformade för att stjäla känslig information, inaktivera säkerhetsåtgärder och hämta ytterligare laster, vilket slutligen ger angriparen kontroll över det komprometterade systemet.
– Malwaren använder sofistikerade tekniker för att undvika upptäckt genom att förkläda sig som det legitima ”noblox.js”-biblioteket och fördölja sin kod med kinesiska tecken.
– Angriparna manipulerar Windows-registret för att säkerställa att malwaren överlever på det infekterade systemet.
– Malwaren kommunicerar med angriparnas kommando- och kontrollserver via en Discord webhook, vilket möjliggör att de samlar in känslig systeminformation och distribuerar fjärråtkomstverktyg.
Centrala frågor och svar:
1. Vad är det primära målet med malware-kampanjen? – Det primära målet med malware-kampanjen är Roblox-plattformen, känd för sin stora användarbas.
2. Hur länge har malware-kampanjen varit aktiv? – Malware-kampanjen har varit aktiv i över ett år.
3. Vilka tekniker använder angriparna för att lura utvecklare att installera deras skadliga paket? – Angriparna använder tekniker som företagskapning, combosquatting och stjälkning av stjärnor för att skapa paketnamn som liknar legitima utvidgningar av ”noblox.js”-biblioteket.
4. Hur säkerställer malwaren sin ihållighet på infekterade system? – Malwaren manipulerar Windows-registret för att exekvera sig själv varje gång Windows Settings-appen öppnas, säkerställande dess överlevnad på det infekterade systemet.
Centrala utmaningar eller kontroverser:
– En central utmaning är den pågående närvaron av angriparens infrastruktur, inklusive ett aktivt GitHub-repositorium, vilket indikerar potentialen för ytterligare malware-distribution genom ovetande paket.
Fördelar:
– Artikeln ger medvetenhet om den pågående malware-kampanjen som riktar sig mot Roblox-utvecklare genom npm-paket.
– Den belyser vikten av att vara försiktig och noggrant granska paket innan de införlivas i projekt för att skydda utvecklare och användare mot försörjningskedjeattacker.
Nackdelar:
– Artikeln ger inte specifik information om konsekvenserna av malware-kampanjen för Roblox-utvecklare eller Roblox-plattformen.
Föreslagen relaterad länk:
npm – Officiell webbplats för npm, pakethanteraren för JavaScript.