Разработчики Roblox стали мишенью для непрекращающейся атаки, в рамках которой злоумышленники используют поддельные пакеты npm, чтобы проникнуть в системы. Этот случай вновь подчеркивает, как киберпреступники продолжают злоупотреблять доверием к экосистеме с открытым исходным кодом для распространения вредоносного ПО.
Согласно техническому отчету исследователя Checkmarx Йехуды Гелба, злоумышленники опубликовали десятки поддельных пакетов, выдавая их за популярную библиотеку noblox.js, с целью кражи конфиденциальной информации и взлома систем.
ReversingLabs впервые задокументировала эту кампанию в августе 2023 года, обнаружив вредоносное ПО под названием Luna Token Grabber, которое, по заявлению компании, является повторением аналогичной атаки, впервые раскрытой в октябре 2021 года.
С начала 2023 года было выявлено два других вредоносных пакета под названием noblox.js-proxy-server и noblox-ts. Они также маскируются под популярную библиотеку Node.js, используемую для доставки вредоносного ПО, предназначенного для кражи данных и установки трояна Quasar RAT для удаленного доступа.
Гелб отметил, что злоумышленники в этой кампании использовали методы, такие как брендджекинг, комбосквоттинг и старджекинг, чтобы придать своим вредоносным пакетам видимость легитимности. В рамках этой стратегии пакеты были названы так, чтобы казаться связанными с легитимным noblox.js, например: noblox.js-async, noblox.js-thread, noblox.js-threads и noblox.js-api.
Статистика загрузок этих пакетов следующая:
- noblox.js-async — 74 загрузки
- noblox.js-thread — 117 загрузок
- noblox.js-threads — 64 загрузки
- noblox.js-api — 64 загрузки
Еще одним методом злоумышленников стало «старджекинг», когда поддельные пакеты выглядят как оригинальный репозиторий noblox.js, чтобы усилить свою достоверность.
Последняя версия вредоносного кода действует как шлюз для загрузки дополнительных вредоносных компонентов, размещенных в репозитории GitHub. Этот код также крадет токены Discord, изменяет список исключений антивируса Microsoft Defender и настраивает изменения в реестре Windows для обеспечения устойчивости вредоносного ПО.
Гелб отметил, что ключевым элементом эффективности вредоносного ПО является его способность сохранять постоянный доступ, используя приложение «Параметры Windows» для запуска при каждом его открытии пользователем.
Конечная цель этой атаки — развертывание Quasar RAT, который предоставляет злоумышленнику полный удаленный контроль над зараженной системой. Все собранные данные передаются на сервер управления и контроля (C2) злоумышленника через веб-перехватчик Discord.
Несмотря на усилия по удалению этих пакетов, их публикация продолжается, поэтому разработчикам следует проявлять повышенную бдительность в отношении данной угрозы.
Что такое Roblox
Roblox — это онлайн-платформа и инструмент для создания игр, который позволяет пользователям разрабатывать собственные игры и играть в игры, созданные другими пользователями. Запущенная в 2006 году, Roblox сочетает в себе элементы социальной сети и виртуального мира, где пользователи могут взаимодействовать друг с другом, участвовать в совместных проектах и создавать свои виртуальные миры.
Число активных пользователей в Roblox на 2024 год насчитывает более 250 миллионов в месяц. Ежедневно на платформе активны около 60 миллионов человек, в основном это дети и подростки в возрасте от 9 до 15 лет, однако платформа становится все более популярной и среди более старших возрастных групп. Roblox доступен в более чем 180 странах и поддерживает множество языков, уже создано пользователями более 40 миллионов различных игр.