Roblox 开发人员是一场持续活动的目标,该活动试图通过伪造的 npm 包破坏系统,这再次强调了威胁行为者如何继续利用对开源生态系统的信任来传递恶意软件。
“通过模仿流行的’noblox.js’库,攻击者发布了数十个旨在窃取敏感数据和破坏系统的软件包,”Checkmarx 研究员 Yehuda Gelb 在一份技术报告中说。
ReversingLabs 于 2023 年 8 月首次记录了有关该活动的详细信息,作为一项活动的一部分,该活动提供了一个名为 Luna Token Grabber 的窃取程序,它表示这是 2021 年 10 月“两年前发现的攻击的重播”。
自今年年初以来,另外两个名为 noblox.js-proxy-server 和 noblox-ts 的软件包被确定为恶意软件包,并冒充流行的 Node.js 库来提供窃取恶意软件和名为 Quasar RAT 的远程访问木马。
“该活动的攻击者采用了包括品牌劫持、组合抢注和劫持星权在内的技术,为他们的恶意包创造了一种令人信服的合法性假象,”Gelb 说,
为此,通过将包命名为 noblox.js-async、noblox.js-thread、noblox.js-threads 和 noblox.js-api,这些包被赋予了合法性的外衣,给毫无戒心的开发人员留下了这些库与合法的 “noblox.js” 包相关的印象。
软件包下载统计数据如下 –
noblox.js-async (74 下载)
noblox.js线程 (117 次下载)
noblox.js 线程 (64 次下载)
noblox.js-API (64 下载)
采用的另一种技术是 starjacking,其中虚假软件包将源存储库列为实际 noblox.js 库的源代码库,以使其看起来更有信誉。
