Araştırmacılar, Roblox geliştiricilerini hedef alan, kimlik bilgilerini ve kişisel bilgileri çalmak için kötü amaçlı yazılım yayan beş kötü amaçlı npm paketi keşfetti.
Autoadv, ro.dll, node-dlls ve iki rolimons-api sürümünü içeren bu paketler, Roblox geliştirici topluluğu tarafından sıklıkla kullanılan meşru modülleri taklit etmek için tasarlandı.
Çevrimiçi bir platform ve oyun üretim sistemi olan Roblox’un 2024 yılının ikinci çeyreği itibarıyla %58’i 13 yaş ve üzeri olmak üzere 79,5 milyon günlük aktif kullanıcısı ve 2,6 milyon katılımcı geliştirici topluluğu bulunuyor.
Platformun popülaritesi, onu hassas bilgileri çalmak veya kullanıcı hesaplarına yetkisiz erişim elde etmek isteyen siber suçlular için cazip bir hedef haline getiriyor.
Saldırı Mekanizması
Tehdit aktörü, node-dlls adı verilen sahte bir varyasyon yayınlayarak, 35.800’den fazla indirilen, iyi bilinen node-dll paketinde yazım hatası yaptı.
Aynı şekilde paketler [email protected] Ve [email protected] Roblox geliştiricilerinin Rolimon verilerini oyunlarına veya uygulamalarına dahil etmek için kullandıkları bir araç olan Rolimon’un API Modülünü taklit edecek şekilde tasarlandı.
GitHub’daki Rolimons Lua modülü ve 17.000’den fazla indirilen Rolimons Python paketi de dahil olmak üzere yetkisiz sarmalayıcılar ve modüller bulunsa da, kötü niyetli rolimons-api paketleri, geliştiricilerin tanınmış isimlere olan güveninden yararlanmayı amaçlıyordu.
Socket’in tehdit araştırma ekibi Cyber Security News ile şunları paylaştı: “Kötü amaçlı paketler, Skuld bilgi hırsızlığını ve Blank Grabber kötü amaçlı yazılımını indirip çalıştıran gizlenmiş kod içeriyordu”.
Yönetilen Tespit ve Yanıt Satın Alma Kılavuzu – Ücretsiz İndirin (PDF)
Go tarafından yazılan Skuld bilgi hırsızı, Windows sistemlerinden, özellikle Discord gibi programlardan, Chromium ve Firefox tabanlı tarayıcılardan ve kripto para cüzdanlarından hassas verileri almayı amaçlıyor.
Blank Grabber, etkilenen Windows bilgisayarlardan hassas verileri alan Python tabanlı bir kötü amaçlı yazılımdır.
Kullanımı kolay GUI tasarımcısı sayesinde tehdit aktörleri, kötü amaçlı yazılımın davranışını Kullanıcı Hesabı Denetimini (UAC) atlayacak veya Windows Defender’ı devre dışı bırakacak şekilde değiştirebilir.
Tehdit aktörü daha sonra çalınan verileri Telegram veya Discord web kancaları üzerinden alır.
Kötü amaçlı npm paketleri, dış kaynaklardan kötü amaçlı yürütülebilir dosyaları indirip çalıştırmayı amaçlayan Gizlenmiş JavaScript kodunu içeriyordu.
Kötü amaçlı yürütülebilir dosyaları indirmek ve bunları çalıştırmak üzere PowerShell talimatlarını kullanmak için downloadAndRun işlevi eklendi.
Tehdit aktörü, bu prosedür sayesinde mağdurun bilgisayarında anında şüphe uyandırmadan rastgele kod çalıştırabildi.
Tehdit aktörü, indirilen kötü amaçlı yazılımı çalıştırarak aslında kurbanın bilgisayarına bir arka kapı oluşturdu.
Skuld bilgi hırsızının ve Blank Grabber kötü amaçlı yazılımının konuşlandırılmasını mümkün kılan bu hamle, banka verileri, kimlik bilgileri ve kişisel dosyalar da dahil olmak üzere özel bilgilerin çalınmasını başlattı.
Resmi noblox.js ve noblox.js-sunucu paketlerini taklit eden kötü amaçlı bir paketin kullanıldığı benzer bir istismar, 2024’ün başlarında Socket tarafından ifşa edildi.
Araştırmacılar, “Bu saldırıların yinelenen doğası, saldırganların sürekli olarak Roblox platformunun popülaritesinden ve geliştirici topluluğunun açık kaynak koduna olan bağımlılığından yararlanmaya çalıştığı kalıcı bir tehdit ortamına işaret ediyor” dedi.
Uyanık olmak çok önemlidir; Paket adlarını sürekli olarak iki kez kontrol edin, üçüncü taraf kodlarını inceleyin ve potansiyel olarak zararlı paketleri belirlemek için tasarlanmış güvenlik araçlarını kullanın.
Uzlaşma Göstergeleri (IOC’ler)
Kötü Amaçlı Paketler:
Kötü amaçlı URL’ler:
- hxxps://github[.]com/zvydev/code/raw/main/RobloxPlayerLauncher.exe
- hxxps://github[.]com/zvydev/code/raw/main/cmd.exe
- hxxps://github[.]com/zvydev/code
Discord Web Kancası:
hxxps://discord[.]com/api/webhooks/1298438839865577564/LcdRm0rKPE01ApFPl9RQHGqhcuExeiqKGpghrB8Lv3iKniiyEa0mVBhFySte_oBx7wyQ
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!