Специалисты по кибербезопасности из компании Socket выявили серию вредоносных пакетов в репозитории npm, нацеленных на разработчиков популярной игровой платформы Roblox. Злоумышленники использовали методы социальной инженерии и маскировки под легитимные библиотеки для распространения опасных стилеров данных.
Анализ вредоносной кампании
В ходе исследования были обнаружены четыре подозрительных пакета: node-dlls (77 загрузок), ro.dll (74 загрузки), autoadv (66 загрузок) и rolimons-api (107 загрузок). Особую озабоченность вызывает тот факт, что злоумышленники целенаправленно имитировали названия легитимных и популярных в сообществе Roblox инструментов, включая широко используемый пакет node-dll.
Механизм работы вредоносного ПО
Исследователи выявили, что вредоносные пакеты содержали обфусцированный JavaScript-код, который загружал и выполнял два известных стилера: Skuld (написанный на Golang) и Blank Grabber (на Python). Для избежания обнаружения злоумышленники хранили вредоносные бинарные файлы в специально созданном GitHub-репозитории.
Функциональность стилеров
После успешного внедрения в систему жертвы, стилеры способны собирать широкий спектр конфиденциальной информации. Для экфильтрации похищенных данных использовались веб-хуки популярных мессенджеров Discord и Telegram, что затрудняло обнаружение вредоносной активности традиционными средствами защиты.
Масштаб угрозы и последствия
Несмотря на относительно небольшое количество загрузок вредоносных пакетов, данный инцидент демонстрирует серьезную уязвимость в цепочке поставок программного обеспечения. Особенно показательно сравнение с легитимным Python-пакетом rolimons, набравшим более 17 000 загрузок, что подчеркивает потенциальный масштаб угрозы при успешной маскировке вредоносного ПО.
Этот случай наглядно демонстрирует растущую сложность обеспечения безопасности в экосистеме открытого программного обеспечения. Злоумышленники умело используют доверие разработчиков к известным инструментам, комбинируют различные платформы для распространения вредоносного кода и применяют продвинутые техники обхода систем безопасности. Разработчикам настоятельно рекомендуется тщательно проверять источники используемых пакетов и применять дополнительные меры защиты при работе с внешними зависимостями.
