Los desarrolladores de Roblox son el objetivo de una campaña persistente que busca comprometer los sistemas a través de paquetes npm falsos, lo que pone de relieve una vez más cómo los actores de amenazas continúan explotando la confianza en el ecosistema de código abierto para difundir malware.
«Al imitar la popular biblioteca «noblox.js», los atacantes han lanzado docenas de paquetes diseñados para robar datos confidenciales y comprometer sistemas», dijo el investigador de Checkmarx Yehuda Gelb. dicho en un informe técnico.
Los detalles de la campaña fueron documentados por primera vez por ReversingLabs en agosto de 2023 como parte de un campaña que entregó a un ladrón llamado Luna Token Grabber, que según afirmó era una «repetición de un ataque descubierto hace dos años» en octubre de 2021.
Desde principios de año, otros dos paquetes llamados servidor-proxy noblox.js Y noblox-ts han sido identificados como maliciosos y se hacen pasar por la popular biblioteca Node.js para difundir malware ladrón y un troyano de acceso remoto llamado Quasar RAT.
«Los atacantes en esta campaña utilizaron técnicas como el secuestro de marca, combosquatting y starjacking para crear una ilusión convincente de legitimidad para sus paquetes maliciosos», dijo Gelb.
Con este fin, a los paquetes se les da un barniz de legitimidad nombrándolos noblox.js-async, noblox.js-thread, noblox.js-threads y noblox.js-api, dando la impresión a los desarrolladores desprevenidos de que estas bibliotecas son relacionado con el paquete legítimo “noblox.js”.
Las estadisticas de descarga del paquete se enumeran a continuacion:
Otra técnica empleada es el starjacking, en el que paquetes falsos enumeran el repositorio fuente como el de la biblioteca noblox.js real para que parezca más confiable.
El código malicioso incrustado en la última versión actúa como puerta de entrada para entregar cargas útiles adicionales alojado en un repositorio de GitHubmientras simultáneamente roba tokens de Discord, actualiza la lista de exclusión de Microsoft Defender Antivirus para evadir la detección y configura la persistencia a través de una edición del registro de Windows.
«La eficacia del malware reside principalmente en su enfoque de persistencia, que se basa en la aplicación de configuración de Windows para garantizar un acceso duradero», señaló Gelb. “Como resultado, cada vez que un usuario intenta abrir la aplicación Configuración de Windows, el sistema ejecuta inadvertidamente el malware. »
El objetivo final de la cadena de ataque es el despliegue de Quasar RAT, que permite al atacante tomar el control remoto del sistema infectado. La información recopilada se filtra al servidor de comando y control (C2) del atacante mediante un webhook de Discord.
Estos resultados indican que se sigue lanzando un flujo constante de nuevos paquetes a pesar de los esfuerzos de eliminación, por lo que es esencial que los desarrolladores permanezcan atentos a la amenaza actual.
