Arthur Herring
最近 Checkmarx 的安全研究人员发现了一起针对 Roblox 开发人员的持续恶意软件攻击活动,通过恶意的 npm 包进行攻击。攻击者冒充知名的“noblox.js”库,并发布了许多旨在窃取敏感信息和 comprom 化系统的软包。
该活动已持续一年以上,利用对开源生态系统的信任。其主要目标是 Roblox 平台,以其拥有超过每日 7000 万活跃用户而闻名。
尽管发起了多次关停,仍有新的恶意软包不断涌现,一些仍在 npm 注册表上仍活跃。这种坚持不懈令人担忧,因为这增加了进一步攻击的可能性。
为了制造合法性的幻觉,攻击者采用了各种技术,包括品牌冒名、组合捕获和星标捕获。他们创建与“noblox.js”库合法扩展相似的软包名称,例如“noblox.js-async”和“noblox.js-thread”。通过模仿真正库的命名模式,不疑有它的开发人员更有可能安装这些恶意软包。此外,攻击者将他们的软包链接到合法库的 GitHub 仓库网址,虚假提高了他们的软包的受欢迎程度和可信度。
软包内的恶意软件被精心伪装,攻击者在合法的“noblox.js”库的结构中引入了恶意代码。但是,他们在“postinstall.js”文件中引入了他们的恶意代码,对其进行了严重的混淆,甚至使用了中文字符以阻止分析。这些技术的组合打造出一个令人信服的幌子,提高了开发人员无意中安装和执行恶意软件的机会。
一旦安装,恶意软件利用 npm 的“postinstall”挂钩,该挂钩用于正当的安装过程,将其转化为恶意软件执行的通道。该代码窃取 Discord 鉴权令牌,禁用像 Malwarebytes 和 Windows Defender 这样的安全措施,并下载附加载荷。
恶意软件还利用复杂的持久化技术通过操纵 Windows 注册表,在每次打开 Windows 设置应用程序时执行自身,以确保其在受感染系统上的生存。它收集敏感系统信息,并通过 Discord webhook 将其发送到攻击者的指挥和控制服务器。最后一击来自部署 QuasarRAT,一种远程访问工具,赋予攻击者对受感染系统的全面控制。
攻击者基础设施的持续存在,特别是一个活跃的 GitHub 仓库,是进一步通过毫不知情的软包进行恶意软件分发的令人担忧的迹象。
建议那些使用类似热门库“noblox.js”的开发人员要谨慎。在将软包整合到项目之前进行彻底评估对于保护开发人员和用户免受此类供应链攻击至关重要。
如攻击者不断善于利用开源生态系统内的信任,对于开发人员来说保持警惕和怀疑性是必不可少的。
额外事实:
– Checkmarx 研究人员发现,这起恶意软件活动已持续一年以上,表明攻击者坚持不懈,并继续调整策略以躲避侦测。
– Roblox 平台主要受到目标攻击,因为其庞大的用户群体,使其成为攻击者寻求获取敏感信息并 comprom 系统的有吸引力目标。
– 攻击者采用各种技术,如品牌冒名、组合捕获和星标捕获,诱使开发人员安装其恶意软包。
– 这些恶意软包旨在窃取敏感信息、禁用安全措施和下载附加负载,最终赋予攻击者对受影响系统的控制权。
– 恶意软件使用复杂技术来躲避检测,包括伪装成合法的“noblox.js”库,并用中文字符混淆其代码。
– 攻击者通过操纵 Windows 注册表来确保恶意软件在受感染系统上的持续存在。
– 恶意软件通过 Discord webhook 与攻击者的指挥和控制服务器通信,使其能够收集敏感系统信息并部署远程访问工具。
关键问题和答案:
1. 这起恶意软件活动的主要目标是什么?
– 这次恶意软件活动的主要目标是 Roblox 平台,以其庞大的用户群体而闻名。
2. 该恶意软件活动已经持续多久?
– 该恶意软件活动已持续一年以上。
3. 攻击者使用哪些技术诱使开发人员安装其恶意软包?
– 攻击者使用品牌冒名、组合捕获和星标捕获等技术创建软包名称,这些名称与“noblox.js”库合法扩展类似。
4. 恶意软件如何确保在受感染系统上的持久存在?
– 恶意软件通过操纵 Windows 注册表,在每次打开 Windows 设置应用程序时执行自身,以确保其在受感染系统上的生存。
关键挑战或争议:
– 一个关键挑战是攻击者基础设施的持续存在,包括一个活跃的 GitHub 仓库,这表明进一步可能通过毫不知情的软包进行恶意软件分发。
优势:
– 该文章提醒人们关注一个通过 npm 软包攻击 Roblox 开发人员的持续恶意软件活动。
– 它强调了在将软包整合到项目之前要谨慎评估的重要性,以保护开发人员和用户免受供应链攻击。
劣势:
– 该文章没有提供关于恶意软件活动对 Roblox 开发人员或 Roblox 平台影响或后果的具体信息。
建议的相关链接:
npm – npm 的官方网站,JavaScript 包管理器。
