От началото на август 2023 г. в хранилището за пакети npm са открити повече от дузина зловредни пакети с възможности за внедряване на крадец на информация с отворен код, наречен Luna Token Grabber, в системи, принадлежащи на разработчици на Roblox.
Продължаващата кампания, открита за първи път на 1 август от ReversingLabs, използва модули, които се маскират като легитимния пакет noblox.js – обвивка на API, която се използва за създаване на скриптове, взаимодействащи с платформата за игри Roblox.
Компанията за сигурност на веригата за доставки на софтуер описва дейността като „повторение на атака, разкрита преди две години“ през октомври 2021 г.
„Злонамерените пакети възпроизвеждат кода от легитимния пакет noblox.js, но добавят злонамерени, крадящи информация функции“, заяви изследователят на софтуерни заплахи Лучия Валентич в анализ от вторник.
Пакетите са били изтеглени кумулативно 963 пъти, преди да бъдат свалени. Имената на измамните пакети са следните.
Макар че широките очертания на последната вълна от атаки остават сходни с тези на предишната, тя проявява и някои свои собствени уникални характеристики, особено при внедряването на изпълним файл, който предоставя Luna Grabber.
Разработката е един от редките случаи на многоетапна последователност на заразяване, разкрита в npm, казват от ReversingLabs.
„При злонамерените кампании, които са насочени към веригата за доставка на софтуер, разликата между сложните и несъвършените атаки често се свежда до нивото на усилията, които злонамерените участници полагат, за да прикрият атаката си и да накарат зловредните си пакети да изглеждат легитимни“, посочи Валентич.
По-специално модулите умело прикриват зловредната си функционалност в отделен файл, наречен postinstall.js, който се извиква след инсталацията.
Това е така, защото истинският пакет noblox.js също използва файл със същото име, за да покаже благодарствено съобщение на своите потребители заедно с връзки към документацията и хранилището си в GitHub.
Фалшивите варианти, от друга страна, използват JavaScript файла, за да проверят дали пакетът е инсталиран на машина с Windows, и ако това е така, изтеглят и изпълняват полезен товар на втори етап, хостван в CDN на Discord, или пък показват съобщение за грешка.
От ReversingLabs заявиха, че вторият етап продължава да се развива с всяка итерация, като постепенно добавя повече функционалност и механизми за замаскиране, за да осуети анализа. Основната отговорност на скрипта е да изтегли Luna Token Grabber – инструмент на Python, който може да изсмуква пълномощни от уеб браузъри, както и Discord токени.
Изглежда обаче, че извършителят, който стои зад кампанията npm, е избрал само да събира системна информация от жертвите, като използва конфигурируем конструктор, предоставен от автора(ите) зад Luna Token Grabber.
Това не е първият път, в който Luna Token Grabber е забелязан в реалността. По-рано през юни тази година Trellix разкри подробности за нов крадец на информация, базиран на Go, наречен Skuld, който се припокрива с щама на зловредния софтуер.
„Това още веднъж подчертава тенденцията злонамерените хакери да използват typosquatting като техника за заблуждаване на разработчиците да изтеглят зловреден код под прикритието на сходно наречени, легитимни пакети“, каза Валентич.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.