Desenvolvedores de Roblox são o alvo de uma campanha persistente que busca comprometer sistemas através de pacotes npm falsos, destacando mais uma vez como atores de ameaças continuam a explorar a confiança no ecossistema open-source para entregar malware.
"Mimicando a popular biblioteca 'noblox.js', atacantes publicaram dúzias de pacotes projetados para roubar dados sensíveis e comprometer sistemas," disse o pesquisador da Checkmarx, Yehuda Gelb, em um relatório técnico.
Detalhes sobre a campanha foram primeiramente documentados pela ReversingLabs em agosto de 2023 como parte de uma campanha que entregou um stealer chamado Luna Token Grabber, que foi dito ser um "replay de um ataque descoberto há dois anos" em outubro de 2021.
Desde o início do ano, outros dois pacotes chamados noblox.js-proxy-server e noblox-ts foram identificados como maliciosos e imitando a popular biblioteca Node.js para entregar malware stealer e um trojan de acesso remoto denominado Quasar RAT.
"Os atacantes desta campanha empregaram técnicas incluindo brandjacking, combosquatting e starjacking para criar uma ilusão convincente de legitimidade para seus pacotes maliciosos," disse Gelb,
Para tal, os pacotes são revestidos de uma camada de legitimidade ao serem nomeados noblox.js-async, noblox.js-thread, noblox.js-threads e noblox.js-api, dando a impressão aos desenvolvedores desavisados de que essas bibliotecas estão relacionadas ao pacote legítimo "noblox.js".
As estatísticas de downloads dos pacotes são listadas abaixo:
noblox.js-async (74 downloads)
noblox.js-thread (117 downloads)
noblox.js-threads (64 downloads)
noblox.js-api (64 downloads)
Outra técnica empregada é o starjacking, na qual os pacotes falsos listam o repositório fonte como sendo da biblioteca noblox.js real para parecerem mais respeitáveis.
O código malicioso embutido na última iteração atua como um portal para servir payloads adicionais hospedados em um repositório do GitHub, enquanto simultaneamente rouba tokens do Discord, atualiza a lista de exclusões do Microsoft Defender Antivirus para evadir detecção e configura persistência por meio de uma mudança no Registro do Windows.
"Central para a eficácia do malware é sua abordagem de persistência, alavancando o aplicativo de Configurações do Windows para garantir acesso contínuo," observou Gelb.
Como resultado, sempre que um usuário tenta abrir o aplicativo Configurações do Windows, o sistema inadvertidamente executa o malware em vez disso.
O objetivo final da cadeia de ataque é o deployment do Quasar RAT concedendo ao atacante controle remoto sobre o sistema infectado.
As informações colhidas são exfiltradas para o servidor de comando e controle (C2) do atacante usando um webhook do Discord.
Os achados são uma indicação de que um fluxo constante de novos pacotes continua a ser publicado apesar dos esforços de remoção, tornando essencial que os desenvolvedores permaneçam vigilantes contra a ameaça contínua.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...