Οι προγραμματιστές του Roblox βρίσκονται στο στόχαστρο μιας κακόβουλης εκστρατείας που προσπαθεί να υπονομεύσει τα συστήματα μέσω ψεύτικων πακέτων npm.

Αυτό τονίζει για άλλη μια φορά πώς οι φορείς απειλών συνεχίζουν να εκμεταλλεύονται την εμπιστοσύνη στο open-source οικοσύστημα για να διανέμουν κακόβουλο λογισμικό.

«Μιμούμενοι το δημοφιλές «noblox.js», οι χάκερς έχουν κυκλοφορήσει πλήθος πακέτων σχεδιασμένων να κλέβουν ευαίσθητα δεδομένα και να υπονομεύουν συστήματα», δήλωσε ο ερευνητής της Checkmarx, Yehuda Gelb, σε ένα report.

Δείτε σχετικά: Το AI chatbot της Chevrolet εξαπατήθηκε από χάκερ και πούλησε αυτοκίνητο 1 $

Οι λεπτομέρειες της εκστρατείας καταγράφηκαν για πρώτη φορά από την ReversingLabs τον Αύγουστο του 2023, η οποία αποκάλυψε ένα χάκερ που ονομάζεται Luna Token Grabber και περιγράφηκε ως “επανάληψη μιας επίθεσης που αποκαλύφθηκε πριν από δύο χρόνια” το Οκτώβριο του 2021.

Από την αρχή του έτους, δύο ακόμη πακέτα, γνωστά ως noblox.js-proxy-server και noblox-ts, έχουν χαρακτηριστεί ως κακόβουλα. Αυτά τα πακέτα προσποιούνται ότι είναι μέρος της δημοφιλούς βιβλιοθήκης Node.js, με στόχο την παράδοση κακόβουλου λογισμικού κλοπής και ενός trojan απομακρυσμένης πρόσβασης, γνωστό ως Quasar RAT.

«Οι χάκερς αυτής της εκστρατείας έχουν εφαρμόσει τεχνικές όπως το brandjacking, το combosquatting και το starjacking για να δημιουργήσουν μια πειστική ψευδαίσθηση νομιμότητας για τα κακόβουλα πακέτα τους», δήλωσε ο Gelb.

Για το σκοπό αυτό, τα πακέτα αποκτούν μια όψη νομιμότητας με ονόματα όπως noblox.js-async, noblox.js-thread, noblox.js-threads και noblox.js-api, δημιουργώντας την εντύπωση στους ανυποψίαστους προγραμματιστές ότι αυτές οι βιβλιοθήκες σχετίζονται με το νόμιμο πακέτο “noblox.js”.

Τα στατιστικά στοιχεία λήψης του πακέτου παρατίθενται παρακάτω –

noblox.js-async (74 λήψεις)

noblox.js-thread (117 λήψεις)

noblox.js-threads (64 λήψεις)

noblox.js-api (64 λήψεις)

Διαβάστε περισσότερα:

Μια άλλη τεχνική που χρησιμοποιείται είναι το starjacking, κατά την οποία τα ψεύτικα πακέτα αναφέρουν το αποθετήριο πηγής ως αυτό της αυθεντικής βιβλιοθήκης noblox.js, προκειμένου να φαίνονται πιο αξιόπιστα.

Ο κακόβουλος κώδικας που περιέχεται στην πιο πρόσφατη έκδοση λειτουργεί ως πύλη για την εξυπηρέτηση επιπλέον payloads που φιλοξενούνται σε ένα αποθετήριο GitHub. Παράλληλα, κλέβει tokens από το Discord, ενημερώνει τη λίστα αποκλεισμού του Microsoft Defender Antivirus για να αποφύγει την ανίχνευση και ρυθμίζει την επιμονή μέσω τροποποιήσεων στο μητρώο των Windows.

“Κεντρικό στοιχείο στην αποτελεσματικότητα του κακόβουλου λογισμικού είναι η εμμονή, η οποία εκμεταλλεύεται την εφαρμογή Ρυθμίσεις των Windows για να εξασφαλίσει μόνιμη πρόσβαση,” ανέφερε ο Gelb. “Ως αποτέλεσμα, κάθε φορά που ένας χρήστης προσπαθεί να ανοίξει την εφαρμογή Ρυθμίσεις, το σύστημα εκτελεί κατά λάθος το κακόβουλο λογισμικό.”

Ο τελικός στόχος της αλυσίδας επίθεσης είναι η ανάπτυξη του Quasar RAT που παρέχει στον χάκερ απομακρυσμένο έλεγχο του μολυσμένου συστήματος. Οι πληροφορίες που συλλέγονται διοχετεύονται στον server εντολών και ελέγχου (C2) του χάκερ χρησιμοποιώντας ένα webhook Discord.

Δείτε ακόμη: Το νέο DISGOMOJI malware ελέγχεται μέσω emoji από το Discord

Τα ευρήματα υποδεικνύουν ότι μια σταθερή ροή νέων πακέτων συνεχίζει να δημοσιεύεται, παρά τις προσπάθειες αφαίρεσης. Αυτό καθιστά απαραίτητο για τους προγραμματιστές να παραμένουν σε επαγρύπνηση απέναντι στην συνεχιζόμενη απειλή.

Πηγή: thehackernews