02 de septiembre de 2024Ravie LakshmananSeguridad de software / MalwareLos desarrolladores de Roblox son el objetivo de una campaña persistente que busca comprometer los sistemas a través de paquetes npm falsos, lo que subraya una vez más cómo los actores de amenazas continúan explotando la confianza en el ecosistema de código abierto para distribuir malware. «Al imitar la popular biblioteca ‘noblox.js’, los atacantes han publicado docenas de paquetes diseñados para robar datos confidenciales y comprometer los sistemas», dijo el investigador de Checkmarx Yehuda Gelb en un informe técnico. Los detalles sobre la campaña fueron documentados por primera vez por ReversingLabs en agosto de 2023 como parte de una campaña que entregó un ladrón llamado Luna Token Grabber, que dijo que era una «repetición de un ataque descubierto hace dos años» en octubre de 2021. Desde principios de año, otros dos paquetes llamados noblox.js-proxy-server y noblox-ts fueron identificados como maliciosos y se hacían pasar por la popular biblioteca Node.js para entregar malware ladrón y un troyano de acceso remoto llamado Quasar RAT. «Los atacantes de esta campaña han empleado técnicas que incluyen brandjacking, combosquatting y starjacking para crear una ilusión convincente de legitimidad para sus paquetes maliciosos», dijo Gelb. Para ello, se les da a los paquetes una apariencia de legitimidad al nombrarlos noblox.js-async, noblox.js-thread, noblox.js-threads y noblox.js-api, lo que da la impresión a los desarrolladores desprevenidos de que estas bibliotecas están relacionadas con el paquete legítimo «noblox.js». Las estadísticas de descarga del paquete se enumeran a continuación. Otra técnica empleada es el starjacking, en el que los paquetes falsos enumeran el repositorio de origen como el de la biblioteca noblox.js real para que parezca más confiable. El código malicioso incrustado en la última iteración actúa como una puerta de enlace para servir cargas adicionales alojadas en un repositorio de GitHub, mientras que al mismo tiempo roba tokens de Discord, actualiza la lista de exclusión de Microsoft Defender Antivirus para evadir la detección y configura la persistencia mediante un cambio en el Registro de Windows. «Un aspecto central de la eficacia del malware es su enfoque de persistencia, aprovechando la aplicación de Configuración de Windows para garantizar un acceso sostenido», señaló Gelb. «Como resultado, cada vez que un usuario intenta abrir la aplicación de Configuración de Windows, el sistema ejecuta inadvertidamente el malware en su lugar». El objetivo final de la cadena de ataque es la implementación de Quasar RAT que otorga al atacante control remoto sobre el sistema infectado. La información recopilada se exfiltra al servidor de comando y control (C2) del atacante mediante un webhook de Discord. Los hallazgos son una indicación de que se sigue publicando un flujo constante de nuevos paquetes a pesar de los esfuerzos de eliminación, por lo que es esencial que los desarrolladores se mantengan alerta ante la amenaza en curso. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.