Los desarrolladores de Roblox son el objetivo de una campaña persistente que busca comprometer los sistemas a través de paquetes npm falsos, lo que subraya una vez más cómo los actores de amenazas continúan explotando la confianza en el ecosistema de código abierto para distribuir malware.
«Al imitar la popular biblioteca ‘noblox.js’, los atacantes han publicado docenas de paquetes diseñados para robar datos confidenciales y comprometer sistemas», dijo el investigador de Checkmarx Yehuda Gelb. dicho en un informe técnico.
Los detalles sobre la campaña fueron documentados por primera vez por ReversingLabs en agosto de 2023 como parte de un campaña que entregó un ladrón llamado Luna Token Grabber, que dijo que era una «repetición de un ataque descubierto hace dos años» en octubre de 2021.
Desde principios de año, otros dos paquetes llamados servidor proxy noblox.js y noblox-ts Fueron identificados como maliciosos y suplantando la popular biblioteca Node.js para distribuir malware ladrón y un troyano de acceso remoto llamado Quasar RAT.
«Los atacantes de esta campaña han empleado técnicas que incluyen brandjacking, combosquatting y starjacking para crear una ilusión convincente de legitimidad para sus paquetes maliciosos», dijo Gelb.
Para tal fin, a los paquetes se les da una apariencia de legitimidad al nombrarlos noblox.js-async, noblox.js-thread, noblox.js-threads y noblox.js-api, dando la impresión a los desarrolladores desprevenidos de que estas bibliotecas están relacionadas con el paquete legítimo «noblox.js».
Las estadísticas de descarga del paquete se enumeran a continuación:
Otra técnica empleada es el starjacking, en el que los paquetes falsos enumeran el repositorio de origen como el de la biblioteca real noblox.js para que parezca más confiable.
El código malicioso incrustado en la última iteración actúa como una puerta de enlace para servir cargas útiles adicionales. alojado en un repositorio de GitHubmientras que simultáneamente roba tokens de Discord, actualiza la lista de exclusión del Antivirus Microsoft Defender para evadir la detección y configura la persistencia mediante un cambio en el Registro de Windows.
«La eficacia del malware se basa en su estrategia de persistencia, que aprovecha la aplicación de configuración de Windows para garantizar un acceso continuo», señaló Gelb. «Como resultado, cada vez que un usuario intenta abrir la aplicación de configuración de Windows, el sistema ejecuta el malware sin darse cuenta».
El objetivo final de la cadena de ataque es la implementación de Quasar RAT, que otorga al atacante control remoto sobre el sistema infectado. La información recopilada se filtra al servidor de comando y control (C2) del atacante mediante un webhook de Discord.
Los hallazgos son una indicación de que sigue publicándose un flujo constante de nuevos paquetes a pesar de los esfuerzos de eliminación, por lo que es esencial que los desarrolladores se mantengan atentos ante esta amenaza constante.