Roblox 开发人员是一场持续活动的目标,该活动试图通过伪造的 npm 包破坏系统,这再次强调了威胁行为者如何继续利用对开源生态系统的信任来传递恶意软件。
“通过模仿流行的’noblox.js’库,攻击者发布了数十个旨在窃取敏感数据和破坏系统的软件包,”Checkmarx 研究员 Yehuda Gelb 在一份技术报告中说。
ReversingLabs 于 2023 年 8 月首次记录了有关该活动的详细信息,作为一项活动的一部分,该活动提供了一个名为 Luna Token Grabber 的窃取程序,它表示这是 2021 年 10 月“两年前发现的攻击的重播”。
自今年年初以来,另外两个名为 noblox.js-proxy-server 和 noblox-ts 的软件包被确定为恶意软件包,并冒充流行的 Node.js 库来提供窃取恶意软件和名为 Quasar RAT 的远程访问木马。
“该活动的攻击者采用了包括品牌劫持、组合抢注和劫持星权在内的技术,为他们的恶意包创造了一种令人信服的合法性假象,”Gelb 说,
为此,通过将包命名为 noblox.js-async、noblox.js-thread、noblox.js-threads 和 noblox.js-api,这些包被赋予了合法性的外衣,给毫无戒心的开发人员留下了这些库与合法的 “noblox.js” 包相关的印象。
软件包下载统计数据如下 –
- noblox.js-async (74 下载)
- noblox.js线程 (117 次下载)
- noblox.js 线程 (64 次下载)
- noblox.js-API (64 下载)
采用的另一种技术是 starjacking,其中虚假软件包将源存储库列为实际 noblox.js 库的源代码库,以使其看起来更有信誉。
嵌入在最新版本中的恶意代码充当网关,用于提供 GitHub 存储库上托管的其他有效负载,同时窃取 Discord 令牌,更新 Microsoft Defender Antivirus 排除列表以逃避检测,并通过 Windows 注册表更改设置持久性。
“恶意软件有效性的核心是其持久性方法,利用 Windows 设置应用程序来确保持续访问,”Gelb 指出。“因此,每当用户尝试打开 Windows 设置应用程序时,系统都会无意中执行恶意软件。”
攻击链的最终目标是部署 Quasar RAT,使攻击者能够远程控制受感染的系统。收集到的信息使用 Discord webhook 泄露到攻击者的命令和控制 (C2) 服务器。
这些发现表明,尽管采取了删除措施,但仍有源源不断的新程序包被发布,这使得开发人员必须对持续的威胁保持警惕。
发表评论
您还未登录,请先登录。
登录