Uma nova campanha tem como alvo o repositório de pacotes npm com bibliotecas JavaScript maliciosas projetadas para infectar usuários do Roblox com malware stealer de código aberto, como Skuld e Blank-Grabber.
"Este incidente destaca a alarmante facilidade com que os atores de ameaças conseguem lançar ataques na cadeia de suprimentos, explorando a confiança e erros humanos dentro do ecossistema de código aberto e utilizando malware commodity facilmente disponível, plataformas públicas como o GitHub para hospedar executáveis maliciosos e canais de comunicação como Discord e Telegram para operações de C2 para contornar medidas de segurança tradicionais", disse o pesquisador de segurança da Socket, Kirill Boychenko, em um relatório compartilhado.
A lista de pacotes maliciosos é a seguinte:
- node-dlls (77 downloads)
- ro.dll (74 downloads)
- autoadv (66 downloads)
- rolimons-api (107 downloads)
Vale ressaltar que "node-dlls" é uma tentativa por parte do ator de ameaça de se passar pelo pacote legítimo node-dll, que oferece uma implementação de lista duplamente encadeada para JavaScript.
Da mesma forma, rolimons-api é uma variante enganosa da API de Rolimon.
"Embora existam wrappers e módulos não oficiais - como o pacote Python de rolimons (baixado mais de 17.000 vezes) e o módulo Lua de Rolimons no GitHub - os pacotes maliciosos de rolimons-api procuraram explorar a confiança dos desenvolvedores em nomes familiares", observou Boychenko.
Os pacotes fraudulentos incorporam código ofuscado que baixa e executa Skuld e Blank Grabber, famílias de malware stealer escritas em Golang e Python, respectivamente, capazes de colher uma ampla gama de informações de sistemas infectados.
Os dados capturados são então exfiltrados para o atacante via Discord webhook ou Telegram.
Em uma tentativa adicional de contornar proteções de segurança, os binários de malware são recuperados de um repositório GitHub ("github[.]com/zvydev/code/") controlado pelo ator de ameaça.
A popularidade do Roblox nos últimos anos levou os atores de ameaça a promoverem pacotes falsos para mirar tanto desenvolvedores quanto usuários.
No início deste ano, vários pacotes maliciosos como noblox.js-proxy-server, noblox-ts e noblox.js-async foram descobertos se passando pela popular biblioteca noblox.js.
Com os mal-intencionados explorando a confiança em pacotes amplamente utilizados para empurrar pacotes com typosquatting, aconselha-se que os desenvolvedores verifiquem os nomes dos pacotes e examinem o código-fonte antes de baixá-los.
"À medida que os ecossistemas de código aberto crescem e mais desenvolvedores dependem de código compartilhado, a superfície de ataque se expande, com os atores de ameaças procurando mais oportunidades para infiltrar código malicioso", disse Boychenko.
Este incidente enfatiza a necessidade de uma maior conscientização e práticas de segurança robustas entre os desenvolvedores.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...