Los investigadores de seguridad de Checkmarx han descubierto una campaña sostenida de malware dirigida a los desarrolladores de Roblox a través de paquetes npm maliciosos. Los atacantes se están haciendo pasar por la popular biblioteca “noblox.js” y publican docenas de paquetes diseñados para robar información confidencial y comprometer sistemas. La campaña, que ha estado activa durante más de un año, aprovecha la confianza en el ecosistema de código abierto. Se dirige específicamente a la plataforma Roblox, un objetivo lucrativo gracias a su enorme base de usuarios de más de 70 millones de usuarios activos diarios. A pesar de las numerosas eliminaciones, siguen apareciendo nuevos paquetes maliciosos. Lo preocupante es que algunos permanecen activos en el registro de npm al momento de escribir este artículo. Malware disfrazado Los atacantes han hecho todo lo posible para crear una ilusión de legitimidad en torno a sus paquetes maliciosos. Esto implica una combinación sofisticada de técnicas de brandjacking, combosquatting y starjacking. Esta estrategia implica la creación de nombres que sugieran que los paquetes son extensiones de la biblioteca genuina «noblox.js» o están estrechamente relacionados con ella. Por ejemplo, «noblox.js-async», «noblox.js-thread» y «noblox.js-api». Dado que las bibliotecas suelen tener varias versiones o extensiones, imitar este patrón de nombres hace que sea más probable que los desarrolladores desprevenidos instalen paquetes maliciosos. El starjacking es otra táctica utilizada para promover la ilusión de legitimidad. Al vincular paquetes maliciosos a la URL del repositorio GitHub de la biblioteca legítima, los atacantes inflan falsamente la popularidad y confiabilidad percibidas de sus paquetes. El malware dentro del paquete también está cuidadosamente disfrazado. Los atacantes imitaron la estructura del legítimo «noblox.js», pero introdujeron su código malicioso en el archivo «postinstall.js». Luego ofuscaron mucho este código, incluidos caracteres chinos para desalentar el análisis. Estas técnicas combinadas crean una fachada convincente de legitimidad, aumentando significativamente la probabilidad de que se instalen y ejecuten paquetes maliciosos. Flujo de ataque Una vez instalado, el código malicioso aprovecha el gancho “postinstalación” de npm para ejecutarse automáticamente: una funcionalidad diseñada para procesos de instalación legítimos se transforma en una puerta de entrada para el malware. El código inicialmente ofuscado se puede desofuscar utilizando herramientas en línea disponibles, que revelan cómo funciona el malware. El código roba tokens de autenticación de Discord, desactiva medidas de seguridad como Malwarebytes y Windows Defender y descarga cargas útiles adicionales del repositorio GitHub del atacante. Además, el malware utiliza una sofisticada técnica de persistencia. Manipula el registro de Windows para que se ejecute cada vez que se abre la aplicación Configuración de Windows, asegurando su supervivencia en el sistema infectado. Durante su ejecución, el malware recopila información confidencial sobre el sistema y la empaqueta cuidadosamente para enviarla al servidor de comando y control del atacante a través de un webhook de Discord. Finalmente, el golpe final llega con la implementación de QuasarRAT, una herramienta de acceso remoto que otorga al atacante un control total sobre el sistema comprometido. Amenaza continua El malware de segunda etapa se origina en un repositorio activo de GitHub: https://github.com/aspdasdksa2/callback, una señal preocupante de que esta infraestructura sigue siendo accesible y potencialmente utilizada para distribuir malware a través de otros paquetes desprevenidos. Si bien el equipo de seguridad de npm ha eliminado los paquetes maliciosos más recientes, la presencia y persistencia continuas de la infraestructura del atacante representa una amenaza muy real y continua. Se recomienda a los desarrolladores, especialmente aquellos que trabajan con paquetes similares a bibliotecas populares como «noblox.js», que tengan extrema precaución. Verificar cuidadosamente los paquetes antes de incorporarlos a los proyectos es una necesidad para proteger a los desarrolladores y usuarios de ataques sofisticados a la cadena de suministro como este. Los atacantes son cada vez más astutos y encuentran formas nuevas e ingeniosas de explotar la confianza dentro del ecosistema de código abierto. La vigilancia y una buena dosis de escepticismo son más vitales que nunca. (Foto de Oberon Copeland) Ver también: Hackers norcoreanos atacan a desarrolladores en la última ola de ataques npm ¿Quiere aprender más sobre ciberseguridad y nube de la mano de los líderes de la industria? Consulte la Cyber Security & Cloud Expo que se llevará a cabo en Ámsterdam, California y Londres. El evento completo se llevará a cabo simultáneamente con otros eventos importantes, incluidos BlockX, Digital Transformation Week, IoT Tech Expo y AI & Big Data Expo. Explore otros próximos eventos y seminarios web de tecnología empresarial proporcionados por TechForge aquí. Etiquetas: codificación, ciberseguridad, ciberseguridad, desarrollo, piratería, infosec, JavaScript, malware, noblox, npm, código abierto, programación, quasarrat, roblox, seguridad
Check Also
Una guía básica para empezar a implementar la IA en equipos de desarrollo de software
En el panorama digital hipercompetitivo actual, la inteligencia artificial ya no es sólo una palabra …