安全企业Checkmarx警告,黑客持续锁定Roblox开发人员展开攻击,利用伪造且恶意的npm封包以试图窃取敏感资讯或是危害系统,而且已超过1年。
Roblox是个受到儿童与青少年欢迎的线上游戏平台与游戏创作系统,它内置社交功能,使用自家的虚拟货币Robux,支持PC、手机与游戏机,每月活跃用户数超过2亿,每日活跃用户则超过7,000万。
根据研究人员的调查,黑客主要是仿冒专为Roblox平台开发者设计的JavaScript函数库noblox.js,例如将恶意函数库命名为noblox.js-async、noblox.js-thread或noblox.js-api等,再借由npm软件组件管理系统进行传播,相关的恶意npm封包已超过数十款,且许多伪造的封包几乎可以假乱真。
而这些恶意程序的主要功能包括窃取Discord权限,访问系统资讯,创建于系统上的持久性,以及部署其他的恶意程序等。由于该恶意程序能够摆布Windows注册表,而让用户每次打开Windows设置程序时,就会执行它。
Roblox之所以受到黑客的青睐有许多原因,像是它有庞大的用户基础,开发人员可能获得可观的收入;而且Roblox平台上的开发人员可能相对年轻且缺乏经验,更容易落入社交工程的陷阱;不管是Roblox或npm都属于较容易利用的开放平台。
Checkmarx表示,虽然已多次删除恶意的npm封包,但它们依然不断地出现,现在甚至有些还活跃在npm注册表中,此外,就算已完全移除恶意的npm封包,但黑客用来植入其他恶意程序的GitHub存储库还是处于活动状态,是未来攻击行动的潜在威胁。