Malware mira usuários do Roblox
11 de Novembro de 2024

Uma nova campanha tem como alvo o repositório de pacotes npm com bibliotecas JavaScript maliciosas projetadas para infectar usuários do Roblox com malware stealer de código aberto, como Skuld e Blank-Grabber.

"Este incidente destaca a alarmante facilidade com que os atores de ameaças conseguem lançar ataques na cadeia de suprimentos, explorando a confiança e erros humanos dentro do ecossistema de código aberto e utilizando malware commodity facilmente disponível, plataformas públicas como o GitHub para hospedar executáveis maliciosos e canais de comunicação como Discord e Telegram para operações de C2 para contornar medidas de segurança tradicionais", disse o pesquisador de segurança da Socket, Kirill Boychenko, em um relatório compartilhado.

A lista de pacotes maliciosos é a seguinte:

- node-dlls (77 downloads)
- ro.dll (74 downloads)
- autoadv (66 downloads)
- rolimons-api (107 downloads)

Vale ressaltar que "node-dlls" é uma tentativa por parte do ator de ameaça de se passar pelo pacote legítimo node-dll, que oferece uma implementação de lista duplamente encadeada para JavaScript.

Da mesma forma, rolimons-api é uma variante enganosa da API de Rolimon.

"Embora existam wrappers e módulos não oficiais - como o pacote Python de rolimons (baixado mais de 17.000 vezes) e o módulo Lua de Rolimons no GitHub - os pacotes maliciosos de rolimons-api procuraram explorar a confiança dos desenvolvedores em nomes familiares", observou Boychenko.

Os pacotes fraudulentos incorporam código ofuscado que baixa e executa Skuld e Blank Grabber, famílias de malware stealer escritas em Golang e Python, respectivamente, capazes de colher uma ampla gama de informações de sistemas infectados.

Os dados capturados são então exfiltrados para o atacante via Discord webhook ou Telegram.

Em uma tentativa adicional de contornar proteções de segurança, os binários de malware são recuperados de um repositório GitHub ("github[.]com/zvydev/code/") controlado pelo ator de ameaça.

A popularidade do Roblox nos últimos anos levou os atores de ameaça a promoverem pacotes falsos para mirar tanto desenvolvedores quanto usuários.

No início deste ano, vários pacotes maliciosos como noblox.js-proxy-server, noblox-ts e noblox.js-async foram descobertos se passando pela popular biblioteca noblox.js.

Com os mal-intencionados explorando a confiança em pacotes amplamente utilizados para empurrar pacotes com typosquatting, aconselha-se que os desenvolvedores verifiquem os nomes dos pacotes e examinem o código-fonte antes de baixá-los.

"À medida que os ecossistemas de código aberto crescem e mais desenvolvedores dependem de código compartilhado, a superfície de ataque se expande, com os atores de ameaças procurando mais oportunidades para infiltrar código malicioso", disse Boychenko.

Este incidente enfatiza a necessidade de uma maior conscientização e práticas de segurança robustas entre os desenvolvedores.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...