Sfruttata la fiducia nell’ecosistema open-source per distribuire malware
Gli attaccanti continuano a sfruttare la fiducia nell’ecosistema open-source per distribuire malware, compromettendo i sistemi dei developer di Roblox. Questo tipo di attacco si basa sulla pubblicazione di pacchetti npm maliziosi che imitano il popolare framework ‘noblox.js’, con l’obiettivo di rubare dati sensibili e compromettere i sistemi.
Dettagli dell’attacco
Gli attaccanti hanno pubblicato decine di pacchetti npm maliziosi che imitano il framework ‘noblox.js’. Questi pacchetti sono stati nominati in modo da far credere agli sviluppatori che si tratta di librerie legittime, come ‘noblox.js-async’, ‘noblox.js-thread’, ‘noblox.js-threads’, e ‘noblox.js-api’. Tuttavia, questi pacchetti contengono codice malizioso che, una volta scaricato e eseguito, può rubare informazioni sensibili e compromettere i sistemi.
Tecniche utilizzate
Gli attaccanti hanno utilizzato diverse tecniche per creare un’illusione di legittimità. Tra queste, troviamo:
- Brandjacking: La creazione di pacchetti che imitano il nome di librerie popolari come ‘noblox.js’.
- Combosquatting: La creazione di pacchetti che sono leggermente diversi dal nome originale, come ‘noblox.js-async’.
- Starjacking: La modifica del repository sorgente per far sembrare che i pacchetti siano legittimi.
Esempi di pacchetti maliziosi
- noblox.js-async: 74 download
- noblox.js-thread: 117 download
- noblox.js-threads: 64 download
- noblox.js-api: 64 download
Funzionamento del malware
Il codice malizioso embedded nei pacchetti agisce come un gateway per servire payload aggiuntivi ospitati su un repository GitHub, mentre contemporaneamente ruba token Discord, aggiorna l’elenco di esclusioni di Microsoft Defender Antivirus per evadere la detezione e configura la persistenza tramite un cambio nel registro di Windows.
Obiettivo finale
L’obiettivo finale dell’attacco è il deployment del trojan Quasar RAT, che consente all’attaccante di avere il controllo remoto sul sistema infettato. Le informazioni raccolte vengono esfiltrate verso il server di controllo remoto utilizzando un webhook Discord.
Consigli per la sicurezza
- Non scaricare applicazioni o allegati sospetti: Evitare di scaricare applicazioni e allegati ricevuti via internet.
- Sorveglianza sociale e phishing: Essere all’erta contro attacchi di ingegneria sociale e phishing.
- Backup regolari: Eseguire backup regolari e conservarli offline o su una rete separata.
- Aggiornamenti software: Tenere aggiornati i firmware, i sistemi operativi e le applicazioni terze parti su tutti i sistemi, dispositivi mobili e server.
- Sicurezza delle applicazioni: Assicurarsi che tutte le applicazioni, database, server e dispositivi di rete siano periodicamente hardenati e configurati adeguatamente.
Gli attaccanti continuano a sfruttare la fiducia nell’ecosistema open-source per distribuire malware. È essenziale che i developer rimangano vigili contro questa minaccia e seguano le migliori pratiche di sicurezza per proteggere i loro sistemi.
Fonte: https://thehackernews.com/2024/09/malicious-npm-packages-mimicking.html
