Segurança digital

Malicious NPM Packages Alvo Roblox com malware de roubo de dados

Pacotes maliciosos no repositório npm estão infectando desenvolvedores de Roblox com malware de roubo de dados, Skuld e Blank Grabber. Esta campanha explora falhas na segurança da cadeia de suprimentos.

Imagem malware BeaverTail em pacotes npm

Uma nova campanha maliciosa está mirando o repositório npm com bibliotecas JavaScript projetadas para infectar desenvolvedores de Roblox com malwares de roubo de dados, como o Skuld e o Blank-Grabber. Esses malwares são inseridos por meio de pacotes que imitam nomes populares para enganar os desenvolvedores e comprometem a segurança do ambiente de código aberto.

Pacotes NPM maliciosos infectam usuários de Roblox com malware de roubo de dados

Segundo Kirill Boychenko, pesquisador de segurança da Socket, “esse incidente destaca a facilidade com que agentes mal-intencionados podem realizar ataques na cadeia de suprimentos, explorando a confiança e o erro humano no ecossistema de código aberto”. Esses ataques usam malwares prontos e plataformas públicas, como GitHub, para hospedar executáveis maliciosos, além de canais como Discord e Telegram para operações de comando e controle, driblando sistemas de segurança tradicionais.

Lista de pacotes comprometidos

Entre os pacotes identificados, estão:

  • node-dlls – 77 downloads;
  • ro.dll – 74 downloads;
  • autoadv – 66 downloads;
  • rolimons-api – 107 downloads.

Esses pacotes simulam nomes confiáveis, como “node-dll” e “Rolimon’s API”, para ganhar a confiança dos desenvolvedores. No caso do rolimons-api, o pacote é uma tentativa de enganar usuários que confiam em wrappers não oficiais do API de Rolimon.

NPM Roblox
Imagem: The Hacker News

Como os pacotes maliciosos operam

Esses pacotes contêm código ofuscado, que baixa e executa malware como Skuld e Blank Grabber. Essas ameaças, desenvolvidas em Golang e Python, capturam e enviam dados do sistema infectado para os atacantes por meio de webhooks do Discord ou Telegram. Como medida adicional de evasão, o código malicioso é hospedado em repositórios GitHub sob o controle dos atacantes.

Aumento dos ataques direcionados ao roblox

Com o crescimento da popularidade do Roblox, os agentes de ameaças têm intensificado o uso de pacotes falsos para atingir tanto desenvolvedores quanto usuários da plataforma. No início deste ano, pacotes maliciosos como noblox.js-proxy-server, noblox-ts e noblox.js-async foram detectados imitando a biblioteca popular noblox.js, ampliando o risco de invasão de sistemas e roubo de dados.

Recomendações para desenvolvedores

Para se proteger, os desenvolvedores devem validar cuidadosamente os nomes dos pacotes e examinar o código-fonte antes de fazer o download. Boychenko alerta que, à medida que o ecossistema de código aberto cresce, a superfície de ataque se expande. “Este incidente reforça a necessidade de uma conscientização maior e de práticas de segurança robustas entre os desenvolvedores”, concluiu ele.

Conclusão

A proliferação de pacotes npm maliciosos evidencia a necessidade urgente de práticas de segurança mais rigorosas na cadeia de suprimentos de software. Desenvolvedores de Roblox e de outros projetos de código aberto devem adotar medidas preventivas para proteger seus ambientes e minimizar riscos de ataques cibernéticos.