Uma nova campanha maliciosa está mirando o repositório npm com bibliotecas JavaScript projetadas para infectar desenvolvedores de Roblox com malwares de roubo de dados, como o Skuld e o Blank-Grabber. Esses malwares são inseridos por meio de pacotes que imitam nomes populares para enganar os desenvolvedores e comprometem a segurança do ambiente de código aberto.
Pacotes NPM maliciosos infectam usuários de Roblox com malware de roubo de dados
Segundo Kirill Boychenko, pesquisador de segurança da Socket, “esse incidente destaca a facilidade com que agentes mal-intencionados podem realizar ataques na cadeia de suprimentos, explorando a confiança e o erro humano no ecossistema de código aberto”. Esses ataques usam malwares prontos e plataformas públicas, como GitHub, para hospedar executáveis maliciosos, além de canais como Discord e Telegram para operações de comando e controle, driblando sistemas de segurança tradicionais.
Lista de pacotes comprometidos
Entre os pacotes identificados, estão:
- node-dlls – 77 downloads;
- ro.dll – 74 downloads;
- autoadv – 66 downloads;
- rolimons-api – 107 downloads.
Esses pacotes simulam nomes confiáveis, como “node-dll” e “Rolimon’s API”, para ganhar a confiança dos desenvolvedores. No caso do rolimons-api, o pacote é uma tentativa de enganar usuários que confiam em wrappers não oficiais do API de Rolimon.
Notícias Relacionadas
Como os pacotes maliciosos operam
Esses pacotes contêm código ofuscado, que baixa e executa malware como Skuld e Blank Grabber. Essas ameaças, desenvolvidas em Golang e Python, capturam e enviam dados do sistema infectado para os atacantes por meio de webhooks do Discord ou Telegram. Como medida adicional de evasão, o código malicioso é hospedado em repositórios GitHub sob o controle dos atacantes.
Aumento dos ataques direcionados ao roblox
Com o crescimento da popularidade do Roblox, os agentes de ameaças têm intensificado o uso de pacotes falsos para atingir tanto desenvolvedores quanto usuários da plataforma. No início deste ano, pacotes maliciosos como noblox.js-proxy-server, noblox-ts e noblox.js-async foram detectados imitando a biblioteca popular noblox.js, ampliando o risco de invasão de sistemas e roubo de dados.
Recomendações para desenvolvedores
Para se proteger, os desenvolvedores devem validar cuidadosamente os nomes dos pacotes e examinar o código-fonte antes de fazer o download. Boychenko alerta que, à medida que o ecossistema de código aberto cresce, a superfície de ataque se expande. “Este incidente reforça a necessidade de uma conscientização maior e de práticas de segurança robustas entre os desenvolvedores”, concluiu ele.
Conclusão
A proliferação de pacotes npm maliciosos evidencia a necessidade urgente de práticas de segurança mais rigorosas na cadeia de suprimentos de software. Desenvolvedores de Roblox e de outros projetos de código aberto devem adotar medidas preventivas para proteger seus ambientes e minimizar riscos de ataques cibernéticos.
