NPM恶意包假冒 noblox.js，攻陷 Roblox 开发系统

Checkmarx 公司的研究员 Yehuda Gelb 在技术报告中提到，“通过模拟热门 ‘noblox.js’ 库，发布数十个包，窃取敏感数据并攻陷系统。”

该攻击活动的详情由 ReversingLabs 在2023年8月首次记录，它是 Luna Token Grabber 窃取器活动的一部分，被指重现了“两年前（2021年10月）所发现攻击活动”。

自今年开始，另外两个包 noblox.js-proxy-server 和 noblox-ts 被识别为恶意包并模拟热门 Node.js 库来传播窃取器恶意软件和一个远程访问木马 Quasar RAT。

Gelb 表示，“攻击人员利用多种技术如 brandjacking（品牌劫持）、combosquatting（组合式域名仿冒） 和 starjacking （标星劫持）等为其恶意包营造一种合法幻象。”为此，这些包被命名为 noblox.js-async、noblox.js-thread、noblox.js-threads 和 noblox.js-api，以此诱骗不知情的开发人员它们与合法包 “noblox.js”相关。

这些包的下载数据如下：

攻击者利用的另外一种技术是starjacking（标星劫持），即恶意包将来源仓库标注为真实 noblox.js 库，以增加其可信度。最近版本中的嵌入式恶意代码是处理托管在 GitHub 仓库上额外payload 的网关，在窃取 Discord 令牌的同时更新微软 Defender杀毒例外列表以躲避检测，并通过 Windows Registry 变更的方式设置可持久性。

Gelb 提到，“该恶意软件的有效性主要体现在持久性方式，它利用 Windows Settings 应用确保持续的访问权限。结果，每当用户尝试打开 Windows Settings app时，系统就不可避免地执行该恶意软件。”

这一攻击链的最终目标是部署 Quasar RAT，使攻击者获得受感染系统的远程控制。信息通过 Discord 网勾被收割到攻击者的 C2服务器中。

这些研究结果表明，尽管已采取下架措施，但仍有稳定的新包流被发布，因此开发人员应保持警惕。