Iscriviti ora al percorso di Ethical HackerScopri di più

Un nuovo attacco informatico ha preso di mira il repository di pacchetti npm con librerie JavaScript malevole progettate per infettare gli utenti di Roblox con malware open-source di tipo stealer, come Skuld e Blank-Grabber. Questo incidente mette in evidenza la preoccupante facilità con cui gli attori delle minacce possono avviare attacchi alla catena di approvvigionamento sfruttando la fiducia e l'errore umano nell'ecosistema open source. Utilizzano malware di facile accesso, piattaforme pubbliche come GitHub per ospitare eseguibili malevoli e canali di comunicazione come Discord e Telegram per le operazioni di comando e controllo, bypassando così le misure di sicurezza tradizionali.
La lista dei pacchetti malevoli include:
- node-dlls (77 download)
- ro.dll (74 download)
- autoadv (66 download)
- rolimons-api (107 download)
È importante notare che "node-dlls" è un tentativo dell'attore della minaccia di mascherarsi come il legittimo pacchetto node-dll, che offre un'implementazione di lista doppiamente collegata per JavaScript. Allo stesso modo, rolimons-api è una variante ingannevole dell'API di Rolimon. Anche se esistono wrapper e moduli non ufficiali, come il pacchetto Python rolimons (scaricato oltre 17.000 volte) e il modulo Lua di Rolimons su GitHub, i pacchetti malevoli rolimons-api cercano di sfruttare la fiducia degli sviluppatori nei nomi familiari.
I pacchetti rogue incorporano codice offuscato che scarica ed esegue Skuld e Blank Grabber, famiglie di malware stealer scritte rispettivamente in Golang e Python, capaci di raccogliere una vasta gamma di informazioni dai sistemi infetti. I dati catturati vengono poi esfiltrati all'attaccante tramite webhook di Discord o Telegram. In un ulteriore tentativo di bypassare le protezioni di sicurezza, i binari del malware vengono recuperati da un repository GitHub controllato dall'attore della minaccia.
La popolarità di Roblox negli ultimi anni ha portato gli attori delle minacce a spingere pacchetti fasulli per colpire sia gli sviluppatori che gli utenti. All'inizio dell'anno, sono stati scoperti diversi pacchetti malevoli come noblox.js-proxy-server, noblox-ts e noblox.js-async che impersonavano la popolare libreria noblox.js. Con i malintenzionati che sfruttano la fiducia verso pacchetti ampiamente utilizzati per diffondere pacchetti typosquatting, si consiglia agli sviluppatori di verificare i nomi dei pacchetti e scrutinare il codice sorgente prima di scaricarli.