Хакери запускають свіжу хвилю атак з метою порушення систем розробників Roblox за допомогою шахрайських npm-пакетів. Цей останній випадок ще раз підкреслює, як злочинці використовують довіру до відкритого екосистему для поширення шкідливих програм.
У технічному звіті дослідник Checkmarx Йегуда Ґельб розкрив, що атакувальники створили численні пакети, які імітують широко використовувану бібліотеку ‘noblox.js’. Ці пакети були спеціально створені для викрадення чутливих даних та порушення систем. Ґельб попередив, що атакувальники використовували методи, такі як бренджекінг, комбосквоттинг та зоряне захоплення, для створення переконливої фасаду легітимності.
Кампанія стала відома, коли ReversingLabs вперше задокументувала її існування в серпні 2023 року. Було виявлено, що ця кампанія була повторенням подібної атаки, яка відбулася два роки тому, в жовтні 2021 року, і пов’язана з поширенням викрадача під назвою Luna Token Grabber.
Протягом цього року було виявлено ще два шкідливих пакети, під назвами noblox.js-proxy-server та noblox-ts. Ці пакети імітували популярну бібліотеку Node.js та поширювали шкідливі програми для викрадення та віддаленого керування, зокрема вірус Quasar RAT.
Щоб ускладнити ситуацію, атакувальники використали також зоряне захоплення, метод, за яким шахрайські пакети розміщувалися під назвою фактичного сховища noblox.js, що додавало додаткову вірогідність їх злочинним намірам.
Остання ітерація цієї атаки включає вбудування шкідливого коду у пакети, які виступають в якості шлюзів для виконання додаткових навантажень, розміщених на сховищі GitHub. Одночасно вони викрадають токени Discord, змінюють список виключень антивірусу Microsoft Defender для ухилень від виявлення та закріплюються, змінюючи налаштування Реєстру Windows.
Однією з помітних особливостей цього шкідливого ПЗ є його постійний характер. Шляхом використання додатків Налаштування Windows, шкідлива програма забезпечує постійний доступ до зараженої системи. В результаті при спробі користувача звертатися до додатків Налаштування Windows він ненавмисно виконує шкідливу програму.
Остаточною метою цього ланцюжка атак є розгортання Quasar RAT, що надає атакуючому віддалене керування зараженою системою. Викрадену інформацію відправляють на сервер командування та контролю атакуючого через webhook Discord.
Незважаючи на спроби видалити ці шкідливі пакети, надалі публікуються нові, що підкреслює важливість того, щоб розробники залишалися пильними проти цієї триваючої загрози.