背景图片来源/
资安业者Checkmarx警告,骇客持续锁定Roblox开发人员展开攻击,利用伪造且恶意的npm封包以试图窃取敏感资讯或是危害系统,而且已超过1年。 Roblox是个受到儿童与青少年欢迎的线上游戏平台与游戏创作系统,它内建社交功能,使用自家的虚拟货币Robux,支援PC、手机与游戏机,每月活跃用户数超过2亿,每日活跃用户则超过7,000万。 根据研究人员的调查,骇客主要是仿冒专为Roblox平台开发者设计的JavaScript函式库noblox.js,例如将恶意函式库命名为noblox.js-async、noblox.js-thread 或noblox.js-api等,再借由npm软体套件管理系统进行散布,相关的恶意npm封包已超过数十款,且许多伪造的封包几乎可以假乱真。
图片来源/Checkmarx 而这些恶意程式的主要功能包括窃取Discord权杖,存取系统资讯,建立于系统上的持久性,以及部署其它的恶意程式等。由于该恶意程式能够摆布Windows登录档,而让使用者每次开启Windows设定程式时,就会执行它。 Roblox之所以受到骇客的青睐有许多原因,像是它有庞大的用户基础,开发人员可能获得可观的收入;而且Roblox平台上的开发人员可能相对年轻且缺乏经验,更容易落入社交工程的陷阱;不管是Roblox或npm都属于较容易利用的开放平台。 Checkmarx表示,虽然已多次删除恶意的npm封包,但它们依然不断地出现,现在甚至有些还活跃在npm注册表中,此外,就算已完全移除恶意的npm封包,但骇客用来植入其它恶意程式的GitHub储存库还是处于活动状态,是未来攻击行动的潜在威胁。