Attacco NPM su Roblox: La Minaccia Invisibile nei Pacchetti Open-Source

News
Visite: 324

Un nuovo attacco informatico ha preso di mira il repository di pacchetti npm con librerie JavaScript malevole progettate per infettare gli utenti di Roblox con malware open-source di tipo stealer, come Skuld e Blank-Grabber. Questo incidente mette in evidenza la preoccupante facilità con cui gli attori delle minacce possono avviare attacchi alla catena di approvvigionamento sfruttando la fiducia e l'errore umano nell'ecosistema open source. Utilizzano malware di facile accesso, piattaforme pubbliche come GitHub per ospitare eseguibili malevoli e canali di comunicazione come Discord e Telegram per le operazioni di comando e controllo, bypassando così le misure di sicurezza tradizionali.

La lista dei pacchetti malevoli include:
  • node-dlls (77 download)
  • ro.dll (74 download)
  • autoadv (66 download)
  • rolimons-api (107 download)

È importante notare che "node-dlls" è un tentativo dell'attore della minaccia di mascherarsi come il legittimo pacchetto node-dll, che offre un'implementazione di lista doppiamente collegata per JavaScript. Allo stesso modo, rolimons-api è una variante ingannevole dell'API di Rolimon. Anche se esistono wrapper e moduli non ufficiali, come il pacchetto Python rolimons (scaricato oltre 17.000 volte) e il modulo Lua di Rolimons su GitHub, i pacchetti malevoli rolimons-api cercano di sfruttare la fiducia degli sviluppatori nei nomi familiari.

I pacchetti rogue incorporano codice offuscato che scarica ed esegue Skuld e Blank Grabber, famiglie di malware stealer scritte rispettivamente in Golang e Python, capaci di raccogliere una vasta gamma di informazioni dai sistemi infetti. I dati catturati vengono poi esfiltrati all'attaccante tramite webhook di Discord o Telegram. In un ulteriore tentativo di bypassare le protezioni di sicurezza, i binari del malware vengono recuperati da un repository GitHub controllato dall'attore della minaccia.

La popolarità di Roblox negli ultimi anni ha portato gli attori delle minacce a spingere pacchetti fasulli per colpire sia gli sviluppatori che gli utenti. All'inizio dell'anno, sono stati scoperti diversi pacchetti malevoli come noblox.js-proxy-server, noblox-ts e noblox.js-async che impersonavano la popolare libreria noblox.js. Con i malintenzionati che sfruttano la fiducia verso pacchetti ampiamente utilizzati per diffondere pacchetti typosquatting, si consiglia agli sviluppatori di verificare i nomi dei pacchetti e scrutinare il codice sorgente prima di scaricarli.

Pin It
, , ,

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2024 Fata Informatica. Tutti i diritti riservati.