Saldırganlar en az bir yıldır kötü amaçlı yazılım kullanıyor Düğüm Paket Yöneticisi (npm) paketleri Roblox oyun geliştiricilerini hedef alan ve Discord token’larını ve sistem verilerini çalan, hatta ek yükler dağıtan popüler “noblox.js” kütüphanesini taklit eden kötü amaçlı yazılımlar.
Checkmarx araştırmacıları tarafından özetlenen ve en azından Ağustos 2023’ten beri aktif olan kampanya, paketleri meşru göstermek için brandjacking, combosquatting ve starjacking gibi çeşitli taktiklerden yararlanıyor. Hedeflenen bir sisteme yerleştikten sonra, kötü amaçlı yazılım bir Discord webhook kullanarak saldırganın komuta ve kontrol sunucusuna (C2) bir pakette gönderilen çeşitli hassas veri türlerini toplar.
RobloxPopüler bir oyun ve oyun oluşturma platformu olan , günlük 70 milyondan fazla aktif kullanıcıya sahip bir kullanıcı tabanına sahiptir ve bu nedenle tehdit aktörleri için çekici bir hedeftir. Tersine çevirme laboratuvarları daha önce ifşa edilmiş Roblox’u hedef alan ve Luna Grabber kötü amaçlı yazılımını dağıtan npm paket kampanyası ve diğer firmalar da bu konu hakkında yazılar yazdı.
Checkmarx analizi, aldatmayı artırmak için çeşitli sosyal mühendislik taktiklerinin kullanılmasının yanı sıra, yeni kötü amaçlı faaliyetlerin de eklenmesiyle bunun nasıl evrimleştiğine dair yeni ışık tutuyor. KuasarRAT Checkmarx’ta güvenlik araştırmacısı olan Yehuda Gelb, ikincil yükler listesine, bir gönderide yazdı Medium platformunda. İkincil kötü amaçlı yazılımı, “potansiyel olarak kötü amaçlı yazılımı diğer paketler aracılığıyla dağıtmak için kullanılan” ‘aspdasdksa2’ adlı kullanıcıya ait aktif bir GitHub deposundan teslim ediyor, diye yazdı.
Kampanya tarafından sunulan diğer kötü amaçlı yazılımlar, Windows kayıt defterini manipüle eden yeni bir kalıcılık mekanizması ekledi. Bu, bir kullanıcı Windows Ayarları uygulamasını her açtığında yürütmeyi garanti eder ve “kötü amaçlı yazılımın etkinliğinin merkezinde yer alır” diye belirtti Gelb.
Dahası, saldırganlar kötü amaçlı faaliyetlerinin azaltılmasına karşı oldukça dikkatli görünüyorlar; bu, kampanyanın süresi ve yeni kötü amaçlı paketlerin sürekli akışı göz önüne alındığında açıkça görülen bir şey. “Birden fazla paketin kaldırılmasına rağmen, yayınlanma zamanında npm kayıt defterinde yeni kötü amaçlı paketler görünmeye devam ediyor,” diye yazdı Gelb.
Oyun Geliştiricisi Aldatmacası İçin Sosyal Mühendislik
Kampanya ayrıntılı özellikler içeriyor sosyal mühendislik Bu, saldırganların hedef kitlelerini tanıdıklarını ve paketlerin Roblox geliştiricileri için mümkün olduğunca otantik ve kullanışlı görünmesini sağlamayı amaçladıklarını gösteriyor.
Bir tiposquatting tekniği, bu taktiğin alt kümelerini bir araya getirerek —brandjacking ve combosquatting— paketlerin isimlendirilmesinde “paketlerinin meşru ‘noblox.js’ kütüphanesinin uzantıları veya yakından ilişkili olduğu yanılsamasını” yaratır, diye yazdı Gelb. Bunlara noblox.js-async, noblox.js-thread ve noblox.js-api gibi dosya adları dahildir.
Saldırganlar ayrıca tehdit aktörlerinin paket istatistiklerini şişirmek için kullandığı bir taktik olan “starjacking”i de kullanıyorlar, böylece geliştiriciler paketlerin olduğundan daha fazla indirildiğini ve dolayısıyla güvenilir olduğunu düşünüyorlar. Bu durumda saldırganlar kötü amaçlı paketleri gerçek ‘noblox.js’ paketinin GitHub deposu URL’sine bağladılar, dedi Gelb.
Kampanyada kullanılan diğer taktikler, meşru “noblox.js” dosyasının yapısını taklit ederek kötü amaçlı yazılımı paketin içinde gizlemeye çalışıyor, ancak daha sonra postinstall.js dosyasına kötü amaçlı kod ekliyor. Gelb, “Bu kodu, kolay analizi engellemek için anlamsız Çince karakterler bile ekleyerek, ciddi şekilde gizlediler” diye belirtti.
Kalıcılık için Windows Defender’ı devre dışı bırakma
Kampanya geliştikçe saldırganlar, savunucuların ilettiği kötü amaçlı yazılımları tespit edip hafifletmesini zorlaştırmak için çıtayı yükseltmeye devam ediyor. Bu tür yeni taktiklerden biri, Malwarebytes ve Windows Defender gibi çeşitli hizmetleri hedef alarak “sistemin güvenlik önlemlerini agresif bir şekilde baltalıyor”, diye yazdı Gelb. İlk olarak ilkini hedef alıyor ve çalışıyorsa durdurmaya çalışıyor, “ardından daha Windows Defender’a kapsamlı saldırı” diye yazdı.
“Komut dosyası tüm disk sürücülerini tanımlıyor ve bunları Windows Defender’ın dışlama listesine ekliyor,” diye açıkladı. “Bu eylem, Windows Defender’ı sistemdeki herhangi bir dosyaya karşı etkili bir şekilde kör ediyor.”
Gelb, genel olarak üçüncü taraf antivirüs yazılımlarını devre dışı bırakmasının ve yerleşik Windows güvenliğini manipüle etmesinin, kötü amaçlı yazılımın serbestçe çalışabileceği bir ortam yarattığını ve bu durumun da zarar verme ve kalıcılık potansiyelini önemli ölçüde artırdığını belirtti.
Kampanya Geliştiricilerden Dikkatli Olmalarını İstiyor
Geliştiricileri, yazılım (veya bu durumda oyun) geliştirmek için güvendikleri açık kaynaklı kod varlıkları aracılığıyla hedeflemek, gelişen strateji tehdit aktörleri tarafından saldırı yüzeylerini genişletmek için kullanılır. Geliştirme süreci sırasında kodu zehirleyerek, belirli sistemleri tek tek hedeflemek zorunda kalmadan yazılım tedarik zinciri aracılığıyla çok sayıda kullanıcıya kötü amaçlı yazılım yayabilir.
Gerçekten de, Roblox geliştiricilerine sürekli olarak tehlikeye atılan NPM paketleri aracılığıyla yapılan saldırı, “geliştirici topluluğunun karşı karşıya olduğu sürekli tehditlerin çarpıcı bir hatırlatıcısı” olarak hizmet ediyor ve geliştiricilerin, geliştiricilerle çalışırken aşırı dikkatli olmalarını gerektiriyor. açık kaynak kodlu paketlerGelb gözlemledi.
Kampanya ve buna benzer diğerleri, “projelere dahil edilmeden önce paketlerin kapsamlı bir şekilde incelenmesinin kritik önemini” bir kez daha vurguluyor, dedi. “Geliştiriciler, kendilerini ve kullanıcılarını bu tür karmaşık tedarik zinciri saldırılarından korumak için özellikle popüler kütüphanelere benzeyen paketlerin gerçekliğini doğrulayarak uyanık kalmalı.”
