Ağustos 2023’ün başında başlayan kampanya, popüler bir Node.js Roblox API paketleyicisi olan meşru noblox.js’yi taklit eden kötü amaçlı paketler etrafında dönüyor.
- Roblox geliştiricileri, Luna Grabber adlı yeni bir kötü amaçlı yazılım tarafından hedefleniyor
- Kötü amaçlı yazılım, meşru yazılımın kimliğine bürünen kötü amaçlı npm paketleri aracılığıyla dağıtılıyor.
- Luna Grabber, kurbanların web tarayıcılarından, Discord uygulamalarından ve yerel sistem yapılandırmalarından hassas verileri çalma yeteneğine sahiptir.
- Kötü amaçlı yazılım yaklaşık 1000 kez indirildi, ancak npm deposunda geliştiricileri korumak için uygulanan güvenlik önlemleri nedeniyle etkisi nispeten düşüktü.
- Olay, kötü niyetli aktörlerin, geliştiricilerin yasal yazılım paketlerine olan güvenini suistimal etmek için dizgi hatası kullanarak yaptığı artan eğilimin altını çiziyor.
Siber güvenlik firması ReversingLabs, Roblox oyun platformundaki geliştiricileri hedef alan gelişmiş bir siber saldırıyı ortaya çıkardı. Kötü niyetli aktörler, kurbanların sistemlerinden hassas bilgileri çalan kötü amaçlı yükleri dahil ederken meşru yazılımları taklit ederek kullanıcıları istismar etmeye çalışan npm genel deposu aracılığıyla kötü amaçlı paketler dağıtıyorlar.
Kötü Amaçlı Yazılım Kampanyasına Genel Bakış
Ağustos 2023’ün başında başlayan kampanya, popüler bir Node.js Roblox API paketleyicisi olan meşru noblox.js’yi taklit eden kötü amaçlı paketler etrafında dönüyor. Saldırganlar, npm genel deposuna sızarak, betikleri kullanarak Roblox oyun platformuyla etkileşim kurmaya çalışan, şüphelenmeyen geliştiricilerden yararlandı.
ReversingLabs araştırmacıları, kampanya sırasında noblox.js-vps, noblox.js-ssh ve noblox.js-secure dahil olmak üzere birkaç kötü amaçlı paket belirledi. Bu paketler, kurbanların yerel web tarayıcılarını ve Discord uygulamalarını hedef alan çok aşamalı kötü amaçlı yükler sağlamak üzere tasarlandı. Belirlenen en dikkate değer yük, hassas verileri ayıklamak için tasarlanmış açık kaynaklı bir kötü amaçlı yazılım olan Luna Grabber’dı.
Kötü Amaçlı Yazılım Yürütme ve Strateji
Saldırganlar, kötü amaçlı paketleri yasal noblox.js paketine çok benzeyecek şekilde titizlikle tasarladı. Saldırganlar, orijinal kodu yansıtarak ve benzer adlandırma kurallarını benimseyerek, geliştiricileri tehlikeye atılan yazılımı indirmeleri ve kullanmaları için kandırmayı amaçladılar.
Kötü amaçlı paketler, postinstall.js adlı ayrı bir dosyanın dahil edilmesi de dahil olmak üzere kurbanların sistemlerini tehlikeye atmak için çeşitli tekniklerden yararlandı. Bu kurulum sonrası komut dosyası, paket kurulumu tamamlandıktan sonra kötü amaçlı bir yükün yürütülmesini tetikledi. Kötü amaçlı yazılım daha sonra kurbanın bir Windows makinesi çalıştırıp çalıştırmadığını belirledi ve Discord’un İçerik Dağıtım Ağı’ndan (CDN) Luna Grabber kötü amaçlı yazılımını indirip çalıştırmaya devam etti.
Luna Grabber: Bilgi Çalan Kötü Amaçlı Yazılım
Araştırma, kötü amaçlı paketlerin birincil yükünün, kurbanların web tarayıcılarından, Discord uygulamalarından ve yerel sistem yapılandırmalarından bilgi çalabilen, oldukça özelleştirilebilir bir kötü amaçlı yazılım olan Luna Grabber olduğunu ortaya çıkardı. Kötü amaçlı yazılım ayrıca, sanal ortamları algılamasını ve gerekirse kendi kendini yok etme mekanizmasını başlatmasını sağlayan özelliklerle donatılmıştı.
İlginç bir şekilde, kampanyanın arkasındaki saldırganlar, kötü amaçlı yürütülebilir dosyayı oluşturma ve yapılandırma sürecini basitleştirerek, Luna Grabber’ın oluşturucu uygulamasının kullanıcı dostu doğasından yararlandı.
Luna Grabber’ın açık kaynak doğası, saldırganların kötü amaçlı yazılımı ihtiyaçlarına göre uyarlamasına izin verirken, Roblox platformunda geliştiricileri hedefleme seçimi, belirli bir kullanıcı grubuna odaklanmayı önerir.
Sınırlı Etki ve Alınan Dersler
Kampanyanın karmaşıklığına rağmen etkisi nispeten düşük kaldı. Kötü amaçlı paketlerin yaklaşık 1000 kez indirilmesi, npm deposundaki geliştiricileri korumak için uygulanan güvenlik önlemlerinin saldırının erişimini sınırlamada başarılı olduğunun sinyalini veriyor.
Olay, kötü niyetli aktörlerin, geliştiricilerin yasal yazılım paketlerine olan güvenini istismar etmek için yazım hatası yaparak oturma eğilimine ışık tutuyor. Bu yaklaşım daha önce IconBurst ve Brainleeches kampanyaları gibi diğer kampanyalarda gözlemlenmiştir.
Çok aşamalı kötü amaçlı paketler, PyPI gibi belirli açık kaynaklı platformlarda yaygın olmakla birlikte, bu kampanyanın gerçekleştiği npm’deki varlıkları, güvenli açık kaynak havuzlarını korumanın süregelen zorluğunu ve yazılım paketlerini seçerken dikkatli olmanın önemini temsil eder. geliştirme amaçlı.
ALAKALI HABERLER
- CISA, trojenleştirilmiş JavaScript kitaplığının NPM paketi konusunda uyardı
- Discord.io Veri İhlalini Kabul Etti: Çevrimiçi Satılan 760.000 Kullanıcının Bilgileri
- 6 resmi Python deposu kripto madenciliği yapan kötü amaçlı yazılımlarla boğuşuyor