В репозитории npm обнаружено несколько вредоносных пакетов, нацеленных на разработчиков Roblox. При помощи опенсорсных стилеров Skuld и Blank-Grabber у жертв похищали данные.
Как рассказали исследователи
https://socket.dev/blog/roblox-devel...s-the-Backdoor, обнаружившие эту атаку, список вредоносных пакетов выглядел следующим образом:
- rolimons-api (107 загрузок).
Отмечается, что node-dlls — это попытка злоумышленников замаскироваться под легитимный пакет
https://www.npmjs.com/package/@akashbabu/node-dll, а rolimons-api — это вредоносная вариация API Rolimon.
Исследователи пишут, что хотя существуют неофициальные врапперы и модули — например, Python-пакет
https://pypi.org/project/rolimons/(который загрузили более 17 000 раз) и Lua-модуль
https://github.com/Accutrix/Rolimonsна GitHub, — вредоносный rolimons-api пытался паразитировать на доверии разработчиков к знакомым именам. При этом злоумышленники имитировали легитимные решения, широко используемые в сообществе разработчиков Roblox.
Вредоносные пакеты содержали обфусцированный JavaScript-код, который загружал и выполнял в системах жертв стилеры Skuld и Blank Grabber, написанные на Golang и Python. Эти вредоносы могут собрать широкий спектр информации с зараженных устройств, а затем передать похищенные данные своим операторам через веб-хуки Discord или Telegram.
При этом в попытке избежать обнаружения бинарники малвари извлекались из репозитория на GitHub (github[.]com/zvydev/code/), контролируемого хакерами.
«Этот инцидент подчеркивает, с какой пугающей легкостью злоумышленники могут запускать атаки на цепочки поставок, злоупотребляя доверием и человеческим фактором в экосистеме опенсорса, используя легкодоступное вредоносное ПО, публичные платформы вроде GitHub для размещения вредоносных исполняемых файлов, а также такие каналы связи, как Discord и Telegram для управления своими операциями и обхода традиционных защитных мер», — заключают в Socket.
https://xakep.ru/2024/11/12/roblox-npm/
01-11-2025, 12:16 AM
Threaded Mode