Търсене
Close this search box.

Повече от дузина зловредни пакети npm са насочени към разработчиците на игри за Roblox

От началото на август 2023 г. в хранилището за пакети npm са открити повече от дузина зловредни пакети с възможности за внедряване на крадец на информация с отворен код, наречен Luna Token Grabber, в системи, принадлежащи на разработчици на Roblox.

Продължаващата кампания, открита за първи път на 1 август от ReversingLabs, използва модули, които се маскират като легитимния пакет noblox.js – обвивка на API, която се използва за създаване на скриптове, взаимодействащи с платформата за игри Roblox.

Компанията за сигурност на веригата за доставки на софтуер описва дейността като „повторение на атака, разкрита преди две години“ през октомври 2021 г.

„Злонамерените пакети  възпроизвеждат кода от легитимния пакет noblox.js, но добавят злонамерени, крадящи информация функции“, заяви изследователят на софтуерни заплахи Лучия Валентич в анализ от вторник.

Пакетите са били изтеглени кумулативно 963 пъти, преди да бъдат свалени. Имената на измамните пакети са следните.

  •  noblox.js-vps (версии от 4.14.0 до 4.23.0)
  • noblox.js-ssh (версии от 4.2.3 до 4.2.5)
  • noblox.js-secure (версии 4.1.0, 4.2.0 до 4.2.3)

Макар че широките очертания на последната вълна от атаки остават сходни с тези на предишната, тя проявява и някои свои собствени уникални характеристики, особено при внедряването на изпълним файл, който предоставя Luna Grabber.

Разработката е един от редките случаи на многоетапна последователност на заразяване, разкрита в npm, казват от ReversingLabs.

„При злонамерените кампании, които са насочени към веригата за доставка на софтуер, разликата между сложните и несъвършените атаки често се свежда до нивото на усилията, които злонамерените участници полагат, за да прикрият атаката си и да накарат зловредните си пакети да изглеждат легитимни“, посочи Валентич.

По-специално модулите умело прикриват зловредната си функционалност в отделен файл, наречен postinstall.js, който се извиква след инсталацията.

Това е така, защото истинският пакет noblox.js също използва файл със същото име, за да покаже благодарствено съобщение на своите потребители заедно с връзки към документацията и хранилището си в GitHub.

Фалшивите варианти, от друга страна, използват JavaScript файла, за да проверят дали пакетът е инсталиран на машина с Windows, и ако това е така, изтеглят и изпълняват полезен товар на втори етап, хостван в CDN на Discord, или пък показват съобщение за грешка.

От ReversingLabs заявиха, че вторият етап продължава да се развива с всяка итерация, като постепенно добавя повече функционалност и механизми за замаскиране, за да осуети анализа. Основната отговорност на скрипта е да изтегли Luna Token Grabber – инструмент на Python, който може да изсмуква пълномощни от уеб браузъри, както и Discord токени.

Изглежда обаче, че извършителят, който стои зад кампанията npm, е избрал само да събира системна информация от жертвите, като използва конфигурируем конструктор, предоставен от автора(ите) зад Luna Token Grabber.

Това не е първият път, в който Luna Token Grabber е забелязан в реалността. По-рано през юни тази година Trellix разкри подробности за нов крадец на информация, базиран на Go, наречен Skuld, който се припокрива с щама на зловредния софтуер.

„Това още веднъж подчертава тенденцията злонамерените хакери да използват typosquatting като техника за заблуждаване на разработчиците да изтеглят зловреден код под прикритието на сходно наречени, легитимни пакети“, каза Валентич.

Източник: The Hacker News

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
Бъдете социални
Още по темата
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
15/04/2024

Хакер твърди, че е пробил G...

Канадската верига за търговия на дребно...
11/04/2024

CISA нарежда на агенциите, ...

CISA издаде нова спешна директива, с...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!