Una nueva campaña se ha dirigido al repositorio de paquetes npm con bibliotecas JavaScript maliciosas diseñadas para infectar a los usuarios de Roblox con malware ladrón de código abierto como Skuld y Blank-Grabber.
“Este incidente resalta la alarmante facilidad con la que los actores de amenazas pueden lanzar ataques a la cadena de suministro explotando la confianza y el error humano dentro del ecosistema de código abierto y utilizando malware comercial fácilmente disponible, plataformas públicas como GitHub para alojar ejecutables maliciosos y canales de comunicación como Discord y Telegram para operaciones C2 para evitar las medidas de seguridad tradicionales”, dijo el investigador de seguridad de Socket Kirill Boychenko dicho en un informe compartido con The Hacker News.
La lista de paquetes maliciosos es la siguiente:
Vale la pena señalar que “node-dlls” es un intento por parte del actor de la amenaza de hacerse pasar por el paquete node-dll legítimo, que ofrece una lista doblemente enlazada Implementación para JavaScript. De manera similar, rolimons-api es una variante engañosa de API de Rolimon.
“Si bien hay envoltorios y módulos no oficiales, como el rolimones Paquete de Python (descargado más de 17.000 veces) y el Rolimones Módulo Lua en GitHub: los paquetes maliciosos rolimons-api buscaban explotar la confianza de los desarrolladores en nombres familiares”, señaló Boychenko.
Los paquetes maliciosos incorporan código ofuscado que descarga y ejecuta Skuld y Blank Grabber, familias de malware ladrón escritas en Golang y Python, respectivamente, que son capaces de recopilar una amplia gama de información de sistemas infectados. Los datos capturados luego se filtran al atacante a través del webhook de Discord o Telegram.
En un intento adicional de eludir las protecciones de seguridad, los archivos binarios de malware se recuperan de un repositorio de GitHub (“github[.]com/zvydev/code/”) controlado por el actor de la amenaza.
La popularidad de Roblox en los últimos años ha llevado a que los actores de amenazas impulsen activamente paquetes falsos dirigidos tanto a desarrolladores como a usuarios. A principios de este año, varios malicioso Se descubrieron paquetes como noblox.js-proxy-server, noblox-ts y noblox.js-async haciéndose pasar por la popular biblioteca noblox.js.
Dado que los malos actores explotan la confianza con paquetes ampliamente utilizados para impulsar paquetes con errores tipográficos, se recomienda a los desarrolladores verificar los nombres de los paquetes y examinar el código fuente antes de descargarlos.
“A medida que los ecosistemas de código abierto crecen y más desarrolladores confían en el código compartido, la superficie de ataque se expande y los actores de amenazas buscan más oportunidades para infiltrarse en código malicioso”, afirmó Boychenko. “Este incidente enfatiza la necesidad de una mayor conciencia y prácticas de seguridad sólidas entre los desarrolladores”.