至少一年来,攻击者一直在使用模仿流行的“noblox.js”库的恶意npm包,以恶意软件为目标 Roblox 游戏开发人员,这些恶意软件会窃取 Discord 令牌和系统数据,甚至部署额外的有效负载。
Roblox 是一个流行的游戏和游戏创建平台,拥有超过 7000 万日活跃用户的用户群,因此是威胁行为者的诱人目标。ReversingLabs 的研究人员此前披露了针对 Roblox 并交付 Luna Grabber 恶意软件的 npm 包活动,其他公司也对此进行了报道。
Checkmarx 安全研究员 Yehuda Gelb 在一篇文章中写道,Checkmarx 分析揭示了它如何随着使用各种社会工程策略来增加欺骗以及新的恶意活动而演变,包括将 QuasarRAT 添加到其二级有效载荷列表中在 Medium 平台上。它从用户“aspdasdksa2”拥有的活动 GitHub 存储库中提供辅助恶意软件,他写道,该存储库“可能用于通过其他包分发恶意软件”。
该活动提供的其他恶意软件添加了一种新颖的持久性机制,可以操纵 Windows 注册表。Gelb 指出,这确保了每次用户打开 Windows 设置应用程序时都执行,并且“是恶意软件有效性的核心”。
更重要的是,攻击者似乎高度关注其恶意活动的任何缓解措施——考虑到活动的持续时间和新型恶意包的持续流动,这一点很明显。“尽管多次删除了多个包,但在发布时,新的恶意包仍继续出现在 npm 注册表中,”Gelb 写道。
通过开发人员开发软件(或在本例中为游戏)所依赖的开源代码资产来瞄准开发人员,是 威胁行为者用来扩大攻击面的一种不断发展的策略。通过在开发过程中对代码进行中毒,他们可以通过软件供应链将恶意软件传播给众多用户,而无需单独针对特定系统。事实上,Gelb 观察到,通过持续受损的 NPM 包对 Roblox 开发人员的持续攻击“清楚地提醒了开发者社区面临的持续威胁”,并要求他们在使用开源代码包时要格外小心。
(来源:安全客)