Škodlivé pakety NPM cílí na uživatele Robloxu s malwarem kradoucím data

12 listopadu, 2024

Nová kampaň zaměřila úložiště packetů NPM s škodlivými knihovnami JavaScriptu, které jsou navrženy k infikování uživatelů Robloxu s open-source malwarem kradoucím data, jako jsou Skuld a Blank-Grabber.

„Tento incident zdůrazňuje, jak děsivě snadné je pro útočníky spustit útoky na dodavatelský řetězec tím, že využijí důvěry a lidských chyb v rámci open-source ekosystému. K tomu mohou použít snadno dostupný komoditní malware, veřejné platformy jako GitHub k hostování škodlivých souborů a komunikační kanály, jako jsou Discord a Telegram, k C2 operacím, čímž obcházejí tradiční bezpečnostní opatření,“ uvedl bezpečnostní expert Socket Kirill Boychenko.

Seznam škodlivých packetů je následující:

– node-dlls (77 stažení)

– ro.dll (74 stažení)

– autoadv (66 stažení)

– rolimons-api (107 stažení)

Stojí za zmínku, že node-dlls je pokus útočníka maskovat se jako legitimní paket node-dll, který nabízí implementaci dvoustranně propojeného seznamu pro JavaScript. Podobně rolimons-api je klamná varianta Rolimon’s API.

„Ačkoli existují neoficiální moduly, jako je paket rolimons pro Python (stažený více než 17 000krát) a modul Rolimons pro Lua na GitHubu, škodlivé pakety rolimons-api se pokusily zneužít důvěry vývojářů ve známá jména,“ poznamenal Boychenko.

Falešné pakety obsahují zašifrovaný kód, který stahuje a spouští Skuld a Blank Grabber, rodiny malwaru kradoucího data napsané v Golangu a Pythonu, které jsou schopné shromažďovat širokou škálu informací z infikovaných systémů. Zachycená data jsou poté poskytnuta útočníkovi prostřednictvím webhooku Discordu nebo Telegramu.

Ve snaze dále obejít bezpečnostní ochrany jsou binární soubory malwaru získávány z úložiště GitHub („github[.]com/zvydev/code/“) kontrolovaného útočníkem.

Popularita Robloxu v posledních letech vedla k tomu, že útočníci aktivně šíří falešné pakety, aby cílili na vývojáře i uživatele. Začátkem tohoto roku bylo objeveno několik škodlivých paketů jako noblox.js-proxy-server, noblox-ts a noblox.js-async, které se vydávaly za populární knihovnu noblox.js.

S tím, jak hackeři zneužívají důvěru ve široce používané pakety k šíření packetů s překlepy, se vývojářům doporučuje ověřovat názvy packetů a pečlivě zkoumat zdrojový kód před jejich stažením.

Zdroj: thehackernews.com

Zdroj: IT SECURITY NETWORK NEWS

Zdroj: ICT NETWORK NEWS

Severokorejští hackeři cílí na krypto firmy pomocí malwaru Hidden Risk na macOS

Hrozba spojená s Korejskou lidově demokratickou republikou (KLDR) byla zaznamenána při útocích na podniky související s kryptoměnami pomocí vícefázového malwaru schopného infikovat zařízení Apple s

Číst dále »

14 listopadu, 2024

Stellar Blade využívá výkon PS5 Pro a přináší nový herní zážitek

Hra Stellar Blade nyní plně využívá výkon PS5 Pro, díky čemuž si hráči mohou užít nové grafické nastavení s režimy Pro a Pro Max. Stellar

Číst dále »

13 listopadu, 2024

Weby vydavatelství AVERIA LTD.: • ict-nn.com • b2b-nn.com • iot-nn.com • itsec-nn.com • netguru-nn.com • gamers-generation.com • ew-nn.com • rc-nn.com • dc-nn.com • cb-nn.com • sm-nn.com • cw-nn.com • egov-nn.com • kankry.cz • jobs-nn.com • zdravi-lide.cz

AVERIA.NEWS by AVERIA LTD. © 2024 – Osobní údaje – Cookies
AVERIA LTD., Company number 06972108, Enterprise House, 2 Pass Street, OL9 6HZ Manchester – Oldham, United Kingdom