Търсене
Close this search box.

От началото на август 2023 г. в хранилището за пакети npm са открити повече от дузина зловредни пакети с възможности за внедряване на крадец на информация с отворен код, наречен Luna Token Grabber, в системи, принадлежащи на разработчици на Roblox.

Продължаващата кампания, открита за първи път на 1 август от ReversingLabs, използва модули, които се маскират като легитимния пакет noblox.js – обвивка на API, която се използва за създаване на скриптове, взаимодействащи с платформата за игри Roblox.

Компанията за сигурност на веригата за доставки на софтуер описва дейността като „повторение на атака, разкрита преди две години“ през октомври 2021 г.

„Злонамерените пакети  възпроизвеждат кода от легитимния пакет noblox.js, но добавят злонамерени, крадящи информация функции“, заяви изследователят на софтуерни заплахи Лучия Валентич в анализ от вторник.

Пакетите са били изтеглени кумулативно 963 пъти, преди да бъдат свалени. Имената на измамните пакети са следните.

  •  noblox.js-vps (версии от 4.14.0 до 4.23.0)
  • noblox.js-ssh (версии от 4.2.3 до 4.2.5)
  • noblox.js-secure (версии 4.1.0, 4.2.0 до 4.2.3)

Макар че широките очертания на последната вълна от атаки остават сходни с тези на предишната, тя проявява и някои свои собствени уникални характеристики, особено при внедряването на изпълним файл, който предоставя Luna Grabber.

Разработката е един от редките случаи на многоетапна последователност на заразяване, разкрита в npm, казват от ReversingLabs.

„При злонамерените кампании, които са насочени към веригата за доставка на софтуер, разликата между сложните и несъвършените атаки често се свежда до нивото на усилията, които злонамерените участници полагат, за да прикрият атаката си и да накарат зловредните си пакети да изглеждат легитимни“, посочи Валентич.

По-специално модулите умело прикриват зловредната си функционалност в отделен файл, наречен postinstall.js, който се извиква след инсталацията.

Това е така, защото истинският пакет noblox.js също използва файл със същото име, за да покаже благодарствено съобщение на своите потребители заедно с връзки към документацията и хранилището си в GitHub.

Фалшивите варианти, от друга страна, използват JavaScript файла, за да проверят дали пакетът е инсталиран на машина с Windows, и ако това е така, изтеглят и изпълняват полезен товар на втори етап, хостван в CDN на Discord, или пък показват съобщение за грешка.

От ReversingLabs заявиха, че вторият етап продължава да се развива с всяка итерация, като постепенно добавя повече функционалност и механизми за замаскиране, за да осуети анализа. Основната отговорност на скрипта е да изтегли Luna Token Grabber – инструмент на Python, който може да изсмуква пълномощни от уеб браузъри, както и Discord токени.

Изглежда обаче, че извършителят, който стои зад кампанията npm, е избрал само да събира системна информация от жертвите, като използва конфигурируем конструктор, предоставен от автора(ите) зад Luna Token Grabber.

Това не е първият път, в който Luna Token Grabber е забелязан в реалността. По-рано през юни тази година Trellix разкри подробности за нов крадец на информация, базиран на Go, наречен Skuld, който се припокрива с щама на зловредния софтуер.

„Това още веднъж подчертава тенденцията злонамерените хакери да използват typosquatting като техника за заблуждаване на разработчиците да изтеглят зловреден код под прикритието на сходно наречени, легитимни пакети“, каза Валентич.

Източник: The Hacker News

Подобни публикации

2 декември 2024

Две болници в Англия са засегнати от кибератаки...

Миналата седмица две болници на Националната здравна служба (NHS) в...
2 декември 2024

Арестуваха Михаил Павлович Матвеев

Руските власти съобщават, че са арестували Михаил Павлович Матвеев,...
2 декември 2024

6 ключови действия за спазване на разпоредбите ...

NIS2, PCI DSS, GDPR, HIPAA или CMMC… този дълъг списък от сък...
2 декември 2024

Микролайнерът на този стартъп обещава по-евтин ...

Годината беше трудна за стартиращите компании за въздушни таксита. ...
1 декември 2024

Evil Twin WiFi Attack: Ръководство "Стъпка по с...

Добре дошли в задълбоченото изследване на WiFi атаките на злите бли...
1 декември 2024

Клуб от италианската Серия А стана жертва на ра...

Футболен клуб „Болоня 1909“ потвърди, че е претърпял атака с цел от...
30 ноември 2024

Загубите от хакове и измами с криптовалути прод...

През ноември загубите на криптовалута от хакове и измами  отново на...
Бъдете социални
Още по темата
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
29/11/2024

Десетки недостатъци в индус...

Разкрити са близо две дузини уязвимости...
28/11/2024

T-Mobile споделя повече инф...

В сряда T-Mobile сподели допълнителна информация...
Последно добавени
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
02/12/2024

Арестуваха Михаил Павлович ...

Руските власти съобщават, че са арестували...
02/12/2024

6 ключови действия за спазв...

NIS2, PCI DSS, GDPR, HIPAA или...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!