VietNetwork.Vn

Các nhà phát triển Roblox là mục tiêu của một chiến dịch dai dẳng nhằm xâm nhập hệ thống thông qua các gói npm giả mạo, một lần nữa nhấn mạnh cách các tác nhân đe dọa tiếp tục lợi dụng lòng tin vào hệ sinh thái nguồn mở để phát tán phần mềm độc hại.

Nhà nghiên cứu Yehuda Gelb của Checkmarx cho biết trong một báo cáo kỹ thuật: "Bằng cách bắt chước thư viện 'noblox.js' phổ biến, kẻ tấn công đã phát hành hàng chục gói được thiết kế để đánh cắp dữ liệu nhạy cảm và xâm phạm hệ thống".


Thông tin chi tiết về hoạt động này lần đầu tiên được ReversingLabs ghi nhận vào tháng 8 năm 2023 như một phần của chiến dịch phát tán phần mềm đánh cắp có tên Luna Token Grabber, được cho là "bản sao của một cuộc tấn công được phát hiện cách đây hai năm" vào tháng 10 năm 2021.

Kể từ đầu năm, hai gói khác có tên noblox.js-proxy-server và noblox-ts đã được xác định là độc hại và mạo danh thư viện Node.js phổ biến để phát tán phần mềm độc hại đánh cắp dữ liệu và trojan truy cập từ xa có tên Quasar RAT.

Gelb cho biết: "Những kẻ tấn công trong chiến dịch này đã sử dụng các kỹ thuật bao gồm brandjacking, combosquatting và starjacking để tạo ra ảo tưởng hợp pháp cho các gói tin độc hại của chúng".

Để đạt được mục đích đó, các gói được tạo vẻ hợp pháp bằng cách đặt tên là noblox.js-async, noblox.js-thread, noblox.js-threads và noblox.js-api, tạo ấn tượng cho các nhà phát triển không nghi ngờ rằng các thư viện này có liên quan đến gói "noblox.js" hợp pháp.

Thống kê tải xuống gói được liệt kê bên dưới -

• noblox.js-async (74 lượt tải xuống)
• noblox.js-thread (117 lượt tải xuống)
• noblox.js-threads (64 lượt tải xuống)
• noblox.js-api (64 lượt tải xuống)

Một kỹ thuật khác được sử dụng là starjacking, trong đó các gói giả mạo liệt kê kho lưu trữ nguồn là kho lưu trữ của thư viện noblox.js thực tế để làm cho nó có vẻ đáng tin cậy hơn.


Mã độc được nhúng trong phiên bản mới nhất hoạt động như một cổng để cung cấp các tải trọng bổ sung được lưu trữ trên kho lưu trữ GitHub, đồng thời đánh cắp mã thông báo Discord, cập nhật danh sách loại trừ của Microsoft Defender Antivirus để tránh bị phát hiện và thiết lập tính bền bỉ thông qua thay đổi Windows Registry.

"Điểm cốt lõi của hiệu quả của phần mềm độc hại là cách tiếp cận tính bền bỉ của nó, tận dụng ứng dụng Cài đặt Windows để đảm bảo quyền truy cập liên tục", Gelb lưu ý. "Kết quả là, bất cứ khi nào người dùng cố gắng mở ứng dụng Cài đặt Windows, hệ thống vô tình thực thi phần mềm độc hại thay thế".

Mục tiêu cuối cùng của chuỗi tấn công là triển khai Quasar RAT, cấp cho kẻ tấn công quyền điều khiển từ xa đối với hệ thống bị nhiễm. Thông tin thu thập được sẽ được chuyển đến máy chủ chỉ huy và kiểm soát (C2) của kẻ tấn công bằng webhook Discord.

Những phát hiện này cho thấy một lượng lớn các gói phần mềm mới vẫn tiếp tục được phát hành bất chấp các nỗ lực gỡ bỏ, khiến các nhà phát triển phải luôn cảnh giác trước mối đe dọa đang diễn ra.