Разработчики Roblox стали жертвами многолетней кампании по созданию вредоносного ПО

Исследователи безопасности Checkmarx обнаружили устойчивую кампанию, направленную на разработчиков Roblox с помощью вредоносных пакетов npm. Злоумышленники выдают себя за популярную библиотеку «noblox.js», публикуя десятки пакетов, предназначенных для кражи конфиденциальной информации и компрометации систем.

Кампания, которая действует уже более года, использует доверие к экосистеме открытого кода. В частности, она нацелена на платформу Roblox, которая является прибыльной мишенью благодаря своей огромной пользовательской базе, насчитывающей более 70 миллионов ежедневных активных пользователей.

Несмотря на многочисленные случаи уничтожения, новые вредоносные пакеты продолжают появляться. К сожалению, на момент написания статьи некоторые из них остаются активными в реестре npm.

Замаскированное вредоносное ПО

Злоумышленники приложили немало усилий, чтобы создать иллюзию легитимности своих вредоносных пакетов. Для этого используется сложная смесь методов brandjacking, combosquatting и starjacking.

Эта стратегия включает в себя создание имен, которые предполагают, что пакеты являются либо расширениями, либо тесно связаны с настоящей библиотекой «noblox.js». Например, «noblox.js-async», «noblox.js-thread» и «noblox.js-api».

Поскольку библиотеки часто имеют несколько версий или расширений, подражание такому шаблону именования повышает вероятность того, что ничего не подозревающие разработчики установят вредоносные пакеты.

Starjacking - еще одна тактика, используемая для создания иллюзии легитимности. Привязывая вредоносные пакеты к URL-адресу репозитория GitHub легитимной библиотеки, злоумышленники ложно повышают популярность и надежность своих пакетов.

Даже вредоносное ПО внутри пакета тщательно замаскировано. Злоумышленники имитировали структуру легитимного пакета «noblox.js», но внедрили свой вредоносный код в файл «postinstall.js». Затем они сильно обфусцировали этот код, включив в него китайские иероглифы, чтобы предотвратить анализ.

Эти комбинированные методы создают убедительный фасад легитимности, значительно повышая вероятность установки и выполнения вредоносных пакетов.

Поток атак

После установки вредоносный код использует хук npm «postinstall» для автоматического выполнения - функция, предназначенная для легитимных процессов установки, превращается в шлюз для вредоносного ПО.

Изначально обфусцированный код может быть деобфусцирован с помощью легкодоступных онлайн-инструментов, что раскрывает принцип работы вредоносной программы. Код похищает токены аутентификации Discord, отключает такие меры безопасности, как Malwarebytes и Windows Defender, и загружает дополнительные полезные нагрузки из репозитория GitHub злоумышленника.

Кроме того, вредоносная программа использует сложную технику сохранения. Он манипулирует реестром Windows, чтобы запускать себя каждый раз, когда открывается приложение «Настройки Windows», что обеспечивает его выживание в зараженной системе.

В процессе выполнения вредоносная программа собирает конфиденциальную системную информацию и аккуратно упаковывает ее для отправки на командно-контрольный сервер злоумышленника через веб-хук Discord.

И наконец, завершающим моментом является развертывание QuasarRAT - инструмента удаленного доступа, предоставляющего злоумышленнику полный контроль над зараженной системой.

Продолжающаяся угроза

Вредоносная программа второго этапа происходит из активного репозитория GitHub: https://github.com/aspdasdksa2/callback-a - тревожный признак того, что эта инфраструктура остается доступной и потенциально может использоваться для распространения вредоносного ПО через другие ничего не подозревающие пакеты.

Хотя последние вредоносные пакеты были удалены командой безопасности npm, постоянное присутствие и сохранение инфраструктуры злоумышленников представляет собой очень реальную и постоянную угрозу.

Разработчикам, особенно тем, кто работает с пакетами, похожими на популярные библиотеки типа «noblox.js», рекомендуется проявлять крайнюю осторожность. Тщательная проверка пакетов перед включением в проекты - необходимая мера защиты разработчиков и пользователей от подобных изощренных атак на цепочки поставок.

Злоумышленники становятся все более изощренными и находят новые и изобретательные способы использовать доверие в экосистеме открытого кода. Бдительность и здоровая доля скептицизма сейчас жизненно необходимы как никогда.