В репозитории npm обнаружено несколько вредоносных пакетов, нацеленных на разработчиков Roblox. При помощи опенсорсных стилеров Skuld и Blank-Grabber у жертв похищали данные.
Как рассказали исследователи Socket, обнаружившие эту атаку, список вредоносных пакетов выглядел следующим образом:
• node-dlls (77 загрузок);
• ro.dll (74 загрузки);
• autoadv (66 загрузок);
• rolimons-api (107 загрузок).
Отмечается, что node-dlls — это попытка злоумышленников замаскироваться под легитимный пакет node-dll, а rolimons-api — это вредоносная вариация API Rolimon.
Исследователи пишут, что хотя существуют неофициальные врапперы и модули — например, Python-пакет rolimons (который загрузили более 17 000 раз) и Lua-модуль Rolimons на GitHub, — вредоносный rolimons-api пытался паразитировать на доверии разработчиков к знакомым именам. При этом злоумышленники имитировали легитимные решения, широко используемые в сообществе разработчиков Roblox.
Вредоносные пакеты содержали обфусцированный JavaScript-код, который загружал и выполнял в системах жертв стилеры Skuld и Blank Grabber, написанные на Golang и Python. Эти вредоносы могут собрать широкий спектр информации с зараженных устройств, а затем передать похищенные данные своим операторам через веб-хуки Discord или Telegram.
При этом в попытке избежать обнаружения бинарники малвари извлекались из репозитория на GitHub (github[.]com/zvydev/code/), контролируемого хакерами.
«Этот инцидент подчеркивает, с какой пугающей легкостью злоумышленники могут запускать атаки на цепочки поставок, злоупотребляя доверием и человеческим фактором в экосистеме опенсорса, используя легкодоступное вредоносное ПО, публичные платформы вроде GitHub для размещения вредоносных исполняемых файлов, а также такие каналы связи, как Discord и Telegram для управления своими операциями и обхода традиционных защитных мер», — заключают в Socket.
