Kampanye baru telah menargetkan repositori paket npm dengan pustaka JavaScript berbahaya yang dirancang untuk menginfeksi pengguna Roblox dengan malware pencuri sumber terbuka seperti Skuld dan Blank-Grabber.
“Insiden ini menyoroti betapa mudahnya pelaku ancaman meluncurkan serangan rantai pasokan dengan mengeksploitasi kepercayaan dan kesalahan manusia dalam ekosistem open source, dan menggunakan malware komoditas yang tersedia, platform publik seperti GitHub untuk menampung executable berbahaya, dan saluran komunikasi seperti Discord dan Telegram untuk operasi C2 untuk melewati langkah-langkah keamanan tradisional,” kata peneliti keamanan Socket Kirill Boychenko dalam laporan yang dibagikan kepada The Hacker News.
Daftar paket berbahaya adalah sebagai berikut –
Perlu diperhatikan bahwa “node-dlls” adalah upaya pelaku ancaman untuk menyamar sebagai paket node-dll yang sah, yang menawarkan implementasi daftar tertaut ganda untuk JavaScript. Demikian pula, rolimons-api adalah varian API Rolimon yang menipu.
“Meskipun ada wrapper dan modul tidak resmi – seperti paket rolimons Python (diunduh lebih dari 17.000 kali) dan modul Rolimons Lua di GitHub – paket rolimons-api yang berbahaya berusaha mengeksploitasi kepercayaan pengembang pada nama-nama yang dikenal,” kata Boychenko.
Paket jahat tersebut menggabungkan kode yang dikaburkan yang mengunduh dan mengeksekusi Skuld dan Blank Grabber, keluarga malware pencuri yang masing-masing ditulis dalam Golang dan Python, yang mampu mengambil berbagai informasi dari sistem yang terinfeksi. Data yang diambil kemudian dieksfiltrasi ke penyerang melalui webhook Discord atau Telegram.
Dalam upaya lebih lanjut untuk melewati perlindungan keamanan, biner malware diambil dari repositori GitHub (“github[.]com/zvydev/code/”) dikendalikan oleh pelaku ancaman.
Popularitas Roblox dalam beberapa tahun terakhir telah menyebabkan pelaku ancaman secara aktif mendorong paket palsu untuk menargetkan pengembang dan pengguna. Awal tahun ini, beberapa paket berbahaya seperti noblox.js-proxy-server, noblox-ts, dan noblox.js-async ditemukan meniru perpustakaan noblox.js yang populer.
Dengan pelaku kejahatan yang mengeksploitasi kepercayaan dengan paket yang banyak digunakan untuk mendorong paket yang salah ketik, pengembang disarankan untuk memverifikasi nama paket dan meneliti kode sumber sebelum mengunduhnya.
“Seiring dengan tumbuhnya ekosistem sumber terbuka dan semakin banyak pengembang yang mengandalkan kode bersama, permukaan serangan pun meluas, dan para pelaku ancaman mencari lebih banyak peluang untuk menyusup ke dalam kode berbahaya,” kata Boychenko. “Insiden ini menekankan perlunya peningkatan kesadaran dan praktik keamanan yang kuat di kalangan pengembang.”