Los desarrolladores de Roblox son el objetivo de una campa\u00f1a persistente que busca comprometer los sistemas a trav\u00e9s de paquetes npm falsos, lo que subraya una vez m\u00e1s c\u00f3mo los actores de amenazas contin\u00faan explotando la confianza en el ecosistema de c\u00f3digo abierto para distribuir malware.<\/p>\n
“Al imitar la popular biblioteca ‘noblox.js’, los atacantes han publicado docenas de paquetes dise\u00f1ados para robar datos confidenciales y comprometer sistemas”, dijo el investigador de Checkmarx Yehuda Gelb. dicho<\/a> en un informe t\u00e9cnico.<\/p>\n Los detalles sobre la campa\u00f1a fueron documentados por primera vez por ReversingLabs en agosto de 2023 como parte de un campa\u00f1a<\/a> que entreg\u00f3 un ladr\u00f3n llamado Luna Token Grabber, que dijo que era una “repetici\u00f3n de un ataque descubierto hace dos a\u00f1os” en octubre de 2021.<\/p>\n Desde principios de a\u00f1o, otros dos paquetes llamados servidor proxy noblox.js<\/a> y noblox-ts<\/a> Fueron identificados como maliciosos y suplantando la popular biblioteca Node.js para distribuir malware ladr\u00f3n y un troyano de acceso remoto llamado Quasar RAT.<\/p>\n “Los atacantes de esta campa\u00f1a han empleado t\u00e9cnicas que incluyen brandjacking, combosquatting y starjacking para crear una ilusi\u00f3n convincente de legitimidad para sus paquetes maliciosos”, dijo Gelb.<\/p>\n Para tal fin, a los paquetes se les da una apariencia de legitimidad al nombrarlos noblox.js-async, noblox.js-thread, noblox.js-threads y noblox.js-api, dando la impresi\u00f3n a los desarrolladores desprevenidos de que estas bibliotecas est\u00e1n relacionadas con el paquete leg\u00edtimo “noblox.js”.<\/p>\n Las estad\u00edsticas de descarga del paquete se enumeran a continuaci\u00f3n:<\/p>\n Otra t\u00e9cnica empleada es el starjacking, en el que los paquetes falsos enumeran el repositorio de origen como el de la biblioteca real noblox.js para que parezca m\u00e1s confiable.<\/p>\n El c\u00f3digo malicioso incrustado en la \u00faltima iteraci\u00f3n act\u00faa como una puerta de enlace para servir cargas \u00fatiles adicionales. alojado en un repositorio de GitHub<\/a>mientras que simult\u00e1neamente roba tokens de Discord, actualiza la lista de exclusi\u00f3n del Antivirus Microsoft Defender para evadir la detecci\u00f3n y configura la persistencia mediante un cambio en el Registro de Windows.<\/p>\n “La eficacia del malware se basa en su estrategia de persistencia, que aprovecha la aplicaci\u00f3n de configuraci\u00f3n de Windows para garantizar un acceso continuo”, se\u00f1al\u00f3 Gelb. “Como resultado, cada vez que un usuario intenta abrir la aplicaci\u00f3n de configuraci\u00f3n de Windows, el sistema ejecuta el malware sin darse cuenta”.<\/p>\n El objetivo final de la cadena de ataque es la implementaci\u00f3n de Quasar RAT, que otorga al atacante control remoto sobre el sistema infectado. La informaci\u00f3n recopilada se filtra al servidor de comando y control (C2) del atacante mediante un webhook de Discord.<\/p>\n Los hallazgos son una indicaci\u00f3n de que sigue public\u00e1ndose un flujo constante de nuevos paquetes a pesar de los esfuerzos de eliminaci\u00f3n, por lo que es esencial que los desarrolladores se mantengan atentos ante esta amenaza constante.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/Paquetes-npm-maliciosos-que-imitan-nobloxjs-comprometen-los-sistemas-de.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/section>\n