NPM恶意包假冒 “noblox.js”,攻陷 Roblox 开发系统
2024-9-2 17:27:0 Author: mp.weixin.qq.com(查看原文) 阅读量:3 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

攻击者通过 npm 恶意包攻击Roblox 开发人员,再次表明威胁行动者利用该开源生态系统中的信任来传播恶意软件。

Checkmarx 公司的研究员 Yehuda Gelb 在技术报告中提到,“通过模拟热门 ‘noblox.js’ 库,发布数十个包,窃取敏感数据并攻陷系统。”

该攻击活动的详情由 ReversingLabs 在2023年8月首次记录,它是 Luna Token Grabber 窃取器活动的一部分,被指重现了“两年前(2021年10月)所发现攻击活动”。

自今年开始,另外两个包 noblox.js-proxy-server 和 noblox-ts 被识别为恶意包并模拟热门 Node.js 库来传播窃取器恶意软件和一个远程访问木马 Quasar RAT。

Gelb 表示,“攻击人员利用多种技术如 brandjacking(品牌劫持)、combosquatting(组合式域名仿冒) 和 starjacking (标星劫持)等为其恶意包营造一种合法幻象。”为此,这些包被命名为 noblox.js-async、noblox.js-thread、noblox.js-threads 和 noblox.js-api,以此诱骗不知情的开发人员它们与合法包 “noblox.js”相关。

这些包的下载数据如下:

  • noblox.js-async(74次下载)

  • noblox.js-thread(117次下载)

  • noblox.js-threads(64次下载)

  • noblox.js-api(64次下载)

攻击者利用的另外一种技术是starjacking(标星劫持),即恶意包将来源仓库标注为真实 noblox.js 库,以增加其可信度。最近版本中的嵌入式恶意代码是处理托管在 GitHub 仓库上额外payload 的网关,在窃取 Discord 令牌的同时更新微软 Defender杀毒例外列表以躲避检测,并通过 Windows Registry 变更的方式设置可持久性。

Gelb 提到,“该恶意软件的有效性主要体现在持久性方式,它利用 Windows Settings 应用确保持续的访问权限。结果,每当用户尝试打开 Windows Settings app时,系统就不可避免地执行该恶意软件。”

这一攻击链的最终目标是部署 Quasar RAT,使攻击者获得受感染系统的远程控制。信息通过 Discord 网勾被收割到攻击者的 C2服务器中。

这些研究结果表明,尽管已采取下架措施,但仍有稳定的新包流被发布,因此开发人员应保持警惕。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

在线阅读版:《2024中国软件供应链安全分析报告》全文

奇安信《软件供应链安全报告》:七成国产软件有超危漏洞

JFrog Artifactory 缺陷导致软件供应链易受缓存投毒攻击

SAP AI Core中严重的 “SAPwned” 缺陷可引发供应链攻击

朝鲜黑客利用恶意npm包攻击开发者

原文链接

https://thehackernews.com/2024/09/malicious-npm-packages-mimicking.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247520645&idx=1&sn=5c21506b72287be7f4b329b57e790e30&chksm=ea94a0efdde329f9ad2d8aeb345bc8abbc9c850e4352100732abc69077d910cccc0ce2259be5&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh