資安業者Checkmarx近日發出警告,過去一年多來,駭客持續利用惡意npm封包對Roblox平台開發人員發動攻擊,試圖竊取敏感資訊或危害系統。
背景資訊
Roblox是一款受到全球兒童與青少年熱愛的線上遊戲平臺與遊戲創作系統。該平台內建社交功能,並使用自家的虛擬貨幣Robux。Roblox支持PC、手機與遊戲機,每月活躍用戶數超過2億,每日活躍用戶則超過7,000萬。
攻擊情況
根據Checkmarx的調查,駭客過去一年多來持續散布大量惡意npm封包,鎖定Roblox開發人員發動攻擊。這些惡意封包主要是仿冒專為Roblox開發者設計的JavaScript函式庫noblox.js,例如將惡意函式庫命名為noblox.js-async、noblox.js-thread 或noblox.js-api等。
駭客通過npm軟體套件管理系統進行散布,相關的惡意npm封包已超過數十款,且許多偽造的封包幾乎可以假亂真。
惡意程式的主要功能
這些惡意程式的主要功能包括竊取Discord權杖、存取系統資訊、在系統上建立持久性,以及部署其他惡意程式等。由於這些惡意程式能夠操控Windows登錄檔,使用者在每次開啟Windows設定程式時,都會執行這些惡意程式。
攻擊原因
Roblox之所以成為駭客的攻擊目標,有許多原因。首先,Roblox擁有龐大的用戶基礎,開發人員可能獲得可觀的收入。其次,Roblox平臺上的開發人員可能相對年輕且缺乏經驗,更容易落入社交工程的陷阱。最後,Roblox和npm都屬於較容易利用的開放平臺。
Checkmarx的應對措施
Checkmarx表示,雖然已多次刪除惡意的npm封包,但它們依然不斷地出現。目前,有些惡意封包仍然活躍在npm註冊表中。即使已完全移除惡意的npm封包,駭客用來植入其他惡意程式的GitHub儲存庫仍處於活動狀態,是未來攻擊行動的潛在威脅。
結語
此次Roblox平台npm供应链攻击事件再次提醒我們,網絡安全問題不容忽視。開發人員在選擇第三方庫時,應仔細核實其安全性,避免遭受惡意攻擊。同時,各大平臺也應加強對惡意程式的監測和清理工作,確保用戶的信息安全。
Views: 0