Ny våg av attacker riktar sig mot Roblox-utvecklare

2 september 2024
New Wave of Attacks Target Roblox Developers

Hackare lanserar en ny våg av attacker riktade mot att kompromettera systemen för Roblox-utvecklare genom att använda falska npm-paket. Det senaste incidentet understryker återigen hur hotaktörer utnyttjar förtroendet för open source-ekosystemet för att distribuera skadlig programvara.

I en teknisk rapport avslöjade Checkmarx-forskaren Yehuda Gelb att angriparna har skapat många paket som imiterar det välkända biblioteket ’noblox.js’. Dessa paket har specifikt utformats för att stjäla känslig information och kompromettera system. Gelb varnade för att angriparna har utnyttjat tekniker som brandjacking, combosquatting och starjacking för att skapa en övertygande fasad av legitimitet.

Kampanjen kom till ljuset när ReversingLabs först dokumenterade dess existens i augusti 2023. Det upptäcktes snart att denna kampanj var en upprepning av en liknande attack som ägde rum två år tidigare, i oktober 2021, som involverade distributionen av en stöldfunktion kallad Luna Token Grabber.

Under detta år identifierades två ytterligare skadliga paket, benämnda noblox.js-proxy-server och noblox-ts. Dessa paket imiterade det populära Node.js-biblioteket och levererade stöldfunktioner och en fjärråtkomsttrojan kallad Quasar RAT.

För att förvärra situationen har angriparna även använt starjacking, en teknik där de falska paketen listas under det faktiska noblox.js-repositoriet, vilket ger ytterligare legitimitet åt deras skadliga avsikter.

Den senaste iterationen av denna attack innebär att skadlig kod bäddas in i paketen, vilka fungerar som portar för att servera ytterligare nyttolaster som är placerade på ett GitHub-repositorium. Samtidigt stjäl de Discord-tokens, modifierar Microsoft Defender Antivirus undantagslistan för att undvika upptäckt och etablerar uthållighet genom att ändra inställningar i Windows-registret.

En anmärkningsvärd egenskap hos denna skadliga programvara är dess uthålliga natur. Genom att utnyttja Windows-inställningsappen säkerställer malwaren en kontinuerlig åtkomst till det infekterade systemet. När en användare försöker komma åt inställningsappen omdirigeras de oavsiktligt till att köra skadlig programvara istället.

Det slutliga målet med denna attackkedja är att implementera Quasar RAT, vilket ger angriparen fjärrkontroll över det komprometterade systemet. Den stulna informationen skickas sedan till angriparens kommandocentralserver via en Discord webhook.

Trots ansträngningarna att ta bort dessa skadliga paket fortsätter nya att publiceras, vilket understryker vikten av att utvecklare förblir vaksamma mot detta pågående hot.

Om du fann den här artikeln intressant, följ oss på Twitter och LinkedIn för mer exklusivt innehåll.

Ytterligare fakta:
– Roblox är en populär onlineplattform där användare kan skapa och spela spel.
– Biblioteket ’noblox.js’ är ett väl använt bibliotek av Roblox-utvecklare som tillhandahåller API:er och verktyg för att interagera med Roblox-plattformen.
– npm är en pakethanterare för JavaScript som ofta används av utvecklare för att installera och hantera beroenden i sina projekt.
– Brandjacking är en teknik där angripare skapar falska paket som liknar populära bibliotek eller paket för att lura användare att ladda ner och installera dem.
– Combosquatting är en teknik där angripare registrerar domännamn som liknar legitima för att lura användare att besöka deras skadliga webbplatser.
– Termen ”starjacking” hänvisar till praxisen där angripare laddar upp skadliga paket under namnet på ett legitimt paket i ett kodrepositorium, såsom npm.

Viktiga frågor:
1. Hur riktar hackare in sig på Roblox-utvecklares system?
– Hackare skapar falska npm-paket som imiterar det välkända biblioteket ’noblox.js’ för att stjäla känslig information och kompromettera system.

2. Vilka tekniker använder angriparna för att lura användare?
– Angriparna använder tekniker som brandjacking, combosquatting och starjacking för att skapa en övertygande fasad av legitimitet och distribuera skadlig programvara.

3. När började denna våg av attacker?
– Kampanjen dokumenterades först i augusti 2023, men det är en upprepning av en liknande attack som inträffade i oktober 2021.

Väsentliga utmaningar/Kontroverser:
– En central utmaning är den fortsatta skapandet och distributionen av nya skadliga paket trots åtgärder för att ta bort dem. Det understryker behovet av att utvecklare förblir vaksamma och vidtar försiktighetsåtgärder för att skydda sina system.

Fördelar:
– Genom att vara medvetna om dessa attacker och deras tekniker kan utvecklare vidta åtgärder för att skydda sina system och data från kompromettering.
– Den tekniska rapporten av Checkmarx-forskaren Yehuda Gelb ger värdefulla insikter i de taktiker som används av angripare i denna specifika kampanj.

Nackdelar:
– Dessa attacker kan leda till stöld av känslig information och kompromettering av system, vilket potentiellt kan orsaka finansiell och reputationsmässig skada för enskilda och organisationer.
– Den fortsatta skapandet av nya skadliga paket utgör en utmaning när det gäller att upptäcka och åtgärda dem i tid.

Relaterade länkar:
Checkmarx Twitter
Checkmarx LinkedIn

Don't Miss

Elder Scrolls Fans Rejoice: The New Era of Castle Management Awaits

Elder Scrolls-fans frossa: Den nya eran av slottsförvaltning väntar

I en värld där The Elder Scrolls 6 fortfarande är
Pico 4 Ultra: Enhancing the VR Experience

Pico 4 Ultra: Förbättra VR-upplevelsen

Förväntningarna kring Pico 4 Ultra, det fristående VR-headsetet, är påtagliga