Компанія Socket, що спеціалізується на кібербезпеці, виявила масштабну кампанію з поширення шкідливого програмного забезпечення через репозиторій npm. Зловмисники створили серію підроблених пакетів, націлених на розробників популярної ігрової платформи Roblox, використовуючи витончені методи соціальної інженерії та маскування.
Детальний аналіз виявлених загроз
Фахівці Socket ідентифікували чотири підозрілі пакети з ознаками шкідливої активності: node-dlls, ro.dll, autoadv та rolimons-api. Сумарна кількість завантажень цих пакетів склала понад 320 разів. Особливу небезпеку становить той факт, що зловмисники ретельно імітували назви легітимних інструментів, які користуються довірою в спільноті Roblox-розробників.
Технічні особливості шкідливого ПЗ
Дослідження показало, що виявлені пакети містили обфусковані JavaScript-скрипти, які завантажували два потужні стилери: Skuld (розроблений на Golang) та Blank Grabber (написаний на Python). Для уникнення виявлення системами безпеки, шкідливі компоненти зберігалися в спеціально створеному репозиторії на GitHub.
Механізми крадіжки даних
Після успішного впровадження в систему жертви, стилери здійснюють збір широкого спектру конфіденційної інформації. Для передачі викрадених даних використовуються веб-хуки Discord та Telegram, що значно ускладнює виявлення шкідливої активності традиційними засобами захисту.
Оцінка масштабів загрози
Хоча кількість завантажень шкідливих пакетів відносно невелика порівняно з легітимним аналогом rolimons (понад 17 000 завантажень), ця атака демонструє серйозну вразливість у ланцюжку постачання програмного забезпечення. Особливо небезпечним є використання зловмисниками довіри розробників до відомих інструментів.
Цей інцидент підкреслює критичну важливість впровадження комплексних заходів безпеки при роботі з відкритими репозиторіями коду. Розробникам рекомендується використовувати спеціалізовані інструменти перевірки залежностей, впроваджувати багатофакторну автентифікацію та регулярно проводити аудит використовуваних пакетів. Додатково варто налаштувати системи моніторингу мережевої активності для виявлення підозрілих з’єднань з невідомими серверами.
