새로운 캠페인은 Skuld 및 Blank-Grabber와 같은 오픈 소스 스틸러 악성 코드로 Roblox 사용자를 감염시키도록 설계된 악성 JavaScript 라이브러리가 포함된 npm 패키지 저장소를 표적으로 삼았습니다.
“이 사건은 위협 행위자가 오픈 소스 생태계 내에서 신뢰와 인적 오류를 악용하고 쉽게 사용할 수 있는 상용 악성 코드, 악성 실행 파일을 호스팅하기 위한 GitHub와 같은 공개 플랫폼, Discord 및 소켓 보안 연구원 Kirill Boychenko는 The Hacker News와 공유한 보고서에서 C2 작전을 위한 텔레그램이 전통적인 보안 조치를 우회한다고 밝혔습니다.
악성 패키지 목록은 다음과 같습니다.
“node-dll”은 JavaScript에 대한 이중 연결 목록 구현을 제공하는 합법적인 node-dll 패키지로 가장하려는 위협 행위자의 일부 시도라는 점을 지적할 가치가 있습니다. 마찬가지로 rolimons-api는 Rolimon API의 사기성 변형입니다.
Boychenko는 “rolimons Python 패키지(17,000회 이상 다운로드) 및 GitHub의 Rolimons Lua 모듈과 같은 비공식 래퍼와 모듈이 있지만 악성 rolimons-api 패키지는 친숙한 이름에 대한 개발자의 신뢰를 이용하려고 했습니다.”라고 Boychenko는 지적했습니다.
악성 패키지에는 각각 Golang과 Python으로 작성된 스틸러 악성 코드 계열인 Skuld와 Blank Grabber를 다운로드하고 실행하는 난독화된 코드가 포함되어 있습니다. 이 악성 코드는 감염된 시스템에서 광범위한 정보를 수집할 수 있습니다. 캡처된 데이터는 Discord 웹훅이나 텔레그램을 통해 공격자에게 유출됩니다.
보안 보호를 우회하려는 추가 시도의 경우 위협 행위자가 제어하는 GitHub 저장소(“github(.)com/zvydev/code/”)에서 악성 코드 바이너리가 검색됩니다.
최근 몇 년간 Roblox의 인기로 인해 위협 행위자들은 개발자와 사용자 모두를 표적으로 삼기 위해 가짜 패키지를 적극적으로 추진하고 있습니다. 올해 초 noblox.js-proxy-server, noblox-ts 및 noblox.js-async와 같은 여러 악성 패키지가 인기 있는 noblox.js 라이브러리를 가장하는 것으로 발견되었습니다.
악의적인 행위자가 널리 사용되는 패키지의 신뢰를 악용하여 오타가 있는 패키지를 푸시하므로 개발자는 패키지 이름을 확인하고 소스 코드를 다운로드하기 전에 면밀히 조사하는 것이 좋습니다.
Boychenko는 “오픈 소스 생태계가 성장하고 더 많은 개발자가 공유 코드에 의존함에 따라 공격 표면이 확대되고 위협 행위자가 악성 코드에 침투할 더 많은 기회를 찾고 있습니다”라고 말했습니다. “이번 사건은 개발자들의 인식 제고와 강력한 보안 관행의 필요성을 강조합니다.”