Roblox-ontwikkelaars zijn het doelwit van een aanhoudende campagne die systemen probeert te compromitteren met behulp van valse NPM-pakketten. Dit onderstreept nog maar eens hoe kwaadwillenden het vertrouwen in het open-source-ecosysteem blijven misbruiken om malware te verspreiden.
“Door de populaire ‘noblox.js’-bibliotheek te imiteren, hebben aanvallers tientallen pakketten gepubliceerd die zijn ontworpen om gevoelige gegevens te stelen en systemen te compromitteren”, aldus Checkmarx-onderzoeker Yehuda Gelb in een technisch rapport.
Details over de campagne werden voor het eerst gedocumenteerd door ReversingLabs in augustus 2023 als onderdeel van een campagne die een stealer genaamd Luna Token Grabber opleverde, waarvan het bedrijf zei dat het een “herhaling was van een aanval die twee jaar geleden werd ontdekt” in oktober 2021.
Sinds het begin van het jaar zijn twee andere pakketten, genaamd noblox.js-proxy-server en noblox-ts, geïdentificeerd als kwaadaardig en ze doen zich voor als de populaire Node.js-bibliotheek om stealer-malware en een trojan voor externe toegang met de naam Quasar RAT te verspreiden.
“De aanvallers van deze campagne hebben technieken als brandjacking, combosquatting en starjacking gebruikt om een overtuigende illusie van legitimiteit te creëren voor hun kwaadaardige pakketten”, aldus Gelb.
Om die reden wordt aan de pakketten een schijn van legitimiteit gegeven door ze noblox.js-async, noblox.js-thread, noblox.js-threads en noblox.js-api te noemen. Hierdoor wordt bij nietsvermoedende ontwikkelaars de indruk gewekt dat deze bibliotheken gerelateerd zijn aan het legitieme pakket ‘noblox.js’.
De downloadstatistieken van het pakket staan hieronder vermeld:
Een andere techniek die wordt gebruikt is starjacking, waarbij de neppakketten de bronrepository vermelden als die van de daadwerkelijke noblox.js-bibliotheek om het betrouwbaarder te laten lijken.
De schadelijke code die in de nieuwste versie is opgenomen, fungeert als een gateway voor het aanbieden van extra payloads die op een GitHub-repository worden gehost, terwijl tegelijkertijd Discord-tokens worden gestolen, de uitsluitingslijst van Microsoft Defender Antivirus wordt bijgewerkt om detectie te omzeilen en persistentie wordt ingesteld door middel van een wijziging in het Windows-register.
“Centraal in de effectiviteit van de malware staat de aanpak van persistentie, waarbij de Windows-instellingen-app wordt gebruikt om aanhoudende toegang te garanderen,” merkte Gelb op. “Als gevolg hiervan voert het systeem onbedoeld de malware uit wanneer een gebruiker de Windows-instellingen-app probeert te openen.”
Het einddoel van de aanvalsketen is de inzet van Quasar RAT, waarmee de aanvaller op afstand controle krijgt over het geïnfecteerde systeem. De verzamelde informatie wordt geëxfiltreerd naar de command-and-control (C2)-server van de aanvaller met behulp van een Discord-webhook.
De bevindingen geven aan dat er ondanks pogingen om de pakketten te verwijderen, nog steeds een gestage stroom nieuwe pakketten wordt gepubliceerd. Het is daarom essentieel dat ontwikkelaars waakzaam blijven tegen de aanhoudende dreiging.