Een nieuwe campagne heeft de npm-pakketrepository aangevallen met kwaadaardige JavaScript-bibliotheken die zijn ontworpen om Roblox-gebruikers te infecteren met open-source stealer-malware zoals Skuld en Blank-Grabber.
“Dit incident benadrukt het alarmerende gemak waarmee bedreigingsactoren supply chain-aanvallen kunnen lanceren door misbruik te maken van vertrouwen en menselijke fouten binnen het open source-ecosysteem, en gebruik te maken van gemakkelijk verkrijgbare commodity-malware, openbare platforms zoals GitHub voor het hosten van kwaadaardige uitvoerbare bestanden, en communicatiekanalen zoals Discord en Telegram voor C2-operaties om traditionele beveiligingsmaatregelen te omzeilen”, zei Socket-beveiligingsonderzoeker Kirill Boychenko in een rapport gedeeld met The Hacker News.
De lijst met kwaadaardige pakketten is als volgt:
Het is de moeite waard erop te wijzen dat “node-dlls” een poging is van een deel van de bedreigingsactor om zich voor te doen als het legitieme node-dll-pakket, dat een dubbel gekoppelde lijstimplementatie voor JavaScript biedt. Op dezelfde manier is rolimons-api een misleidende variant van de API van Rolimon.
“Hoewel er onofficiële wrappers en modules zijn – zoals het rolimons Python-pakket (meer dan 17.000 keer gedownload) en de Rolimons Lua-module op GitHub – probeerden de kwaadaardige rolimons-api-pakketten het vertrouwen van ontwikkelaars in bekende namen te misbruiken,” merkte Boychenko op.
De frauduleuze pakketten bevatten versluierde code die Skuld en Blank Grabber downloadt en uitvoert, stealer-malwarefamilies geschreven in respectievelijk Golang en Python, die in staat zijn een breed scala aan informatie van geïnfecteerde systemen te verzamelen. De vastgelegde gegevens worden vervolgens via Discord-webhook of Telegram naar de aanvaller geëxfiltreerd.
In een verdere poging om de beveiligingsmaatregelen te omzeilen, worden de binaire malwarebestanden opgehaald uit een GitHub-repository (“github(.)com/zvydev/code/”) die wordt beheerd door de bedreigingsacteur.
De populariteit van Roblox in de afgelopen jaren heeft ertoe geleid dat bedreigingsactoren actief valse pakketten pushen om zich op zowel ontwikkelaars als gebruikers te richten. Eerder dit jaar werden verschillende kwaadaardige pakketten ontdekt, zoals noblox.js-proxy-server, noblox-ts en noblox.js-async, die de populaire noblox.js-bibliotheek nabootsten.
Omdat kwaadwillenden het vertrouwen met veelgebruikte pakketten misbruiken om pakketten met typosquats te pushen, wordt ontwikkelaars geadviseerd om pakketnamen te verifiëren en de broncode nauwkeurig te onderzoeken voordat ze deze downloaden.
“Naarmate open-source-ecosystemen groeien en steeds meer ontwikkelaars afhankelijk zijn van gedeelde code, wordt het aanvalsoppervlak groter, waarbij bedreigingsactoren op zoek gaan naar meer mogelijkheden om kwaadaardige code te infiltreren”, aldus Boychenko. “Dit incident benadrukt de noodzaak van een groter bewustzijn en robuuste beveiligingspraktijken onder ontwikkelaars.”