Roblox geliştiricileri, sahte npm paketleri aracılığıyla sistemleri tehlikeye atmayı amaçlayan ısrarlı bir kampanyanın hedefi haline geldi ve bu durum, tehdit aktörlerinin kötü amaçlı yazılımları dağıtmak için açık kaynaklı ekosisteme olan güveni nasıl suistimal etmeye devam ettiğini bir kez daha gözler önüne serdi.
Checkmarx araştırmacısı Yehuda Gelb, teknik bir raporda, “Saldırganlar, popüler ‘noblox.js’ kütüphanesini taklit ederek hassas verileri çalmak ve sistemleri tehlikeye atmak için tasarlanmış düzinelerce paket yayınladılar” dedi.
Kampanyaya ilişkin detaylar ilk olarak Ağustos 2023’te ReversingLabs tarafından Luna Token Grabber adlı bir hırsızı teslim eden bir kampanyanın parçası olarak belgelenmişti ve bunun “iki yıl önce Ekim 2021’de ortaya çıkarılan bir saldırının tekrarı” olduğunu söylemişti.
Yılbaşından bu yana noblox.js-proxy-server ve noblox-ts adlı iki paketin de kötü amaçlı olduğu ve popüler Node.js kütüphanesini taklit ederek hırsız kötü amaçlı yazılım ve Quasar RAT adlı uzaktan erişim trojanını dağıttığı tespit edildi.
Gelb, “Bu kampanyanın saldırganları, kötü amaçlı paketleri için ikna edici bir meşruiyet yanılsaması yaratmak amacıyla marka gaspı, kombosquat ve yıldız gaspı gibi teknikler kullandılar” dedi.
Bu amaçla, paketlere noblox.js-async, noblox.js-thread, noblox.js-threads ve noblox.js-api adları verilerek meşruiyet görünümü kazandırılır ve bu da şüphesiz geliştiricilere bu kütüphanelerin meşru “noblox.js” paketiyle ilişkili olduğu izlenimini verir.
Paket indirme istatistikleri aşağıda listelenmiştir –
Kullanılan bir diğer teknik ise, sahte paketlerin kaynak deposunu gerçek noblox.js kütüphanesininki gibi listeleyerek daha güvenilir görünmesini sağlayan starjacking’dir.
Son yinelemeye yerleştirilen kötü amaçlı kod, GitHub deposunda barındırılan ek yükleri sunmak için bir ağ geçidi görevi görürken, aynı anda Discord belirteçlerini çalıyor, tespit edilmekten kaçınmak için Microsoft Defender Antivirus dışlama listesini güncelliyor ve bir Windows Kayıt Defteri değişikliği yoluyla kalıcılığı ayarlıyor.
“Kötü amaçlı yazılımın etkinliğinin merkezinde, Windows Ayarları uygulamasını kullanarak sürekli erişimi garanti altına alan kalıcılık yaklaşımı yer alıyor,” diye belirtti Gelb. “Sonuç olarak, bir kullanıcı Windows Ayarları uygulamasını açmaya çalıştığında, sistem yanlışlıkla kötü amaçlı yazılımı çalıştırıyor.”
Saldırı zincirinin nihai hedefi, saldırgana enfekte sistem üzerinde uzaktan kontrol sağlayan Quasar RAT’ın konuşlandırılmasıdır. Toplanan bilgiler, bir Discord webhook’u kullanılarak saldırganın komuta ve kontrol (C2) sunucusuna sızdırılır.
Bulgular, kaldırma çabalarına rağmen sürekli olarak yeni paketlerin yayınlanmaya devam ettiğinin bir göstergesi ve bu da geliştiricilerin devam eden tehdide karşı dikkatli olmalarını gerekli kılıyor.