針對Roblox平臺的npm供應鏈攻擊已持續(xù)一年多

安全企業(yè)Checkmarx警告，黑客持續(xù)鎖定Roblox開發(fā)人員展開攻擊，利用偽造且惡意的npm封包以試圖竊取敏感資訊或是危害系統(tǒng)，而且已超過1年。

Roblox是個受到兒童與青少年歡迎的線上游戲平臺與游戲創(chuàng)作系統(tǒng)，它內置社交功能，使用自家的虛擬貨幣Robux，支持PC、手機與游戲機，每月活躍用戶數(shù)超過2億，每日活躍用戶則超過7,000萬。

根據(jù)研究人員的調查，黑客主要是仿冒專為Roblox平臺開發(fā)者設計的JavaScript函數(shù)庫noblox.js，例如將惡意函數(shù)庫命名為noblox.js-async、noblox.js-thread或noblox.js-api等，再借由npm軟件組件管理系統(tǒng)進行傳播，相關的惡意npm封包已超過數(shù)十款，且許多偽造的封包幾乎可以假亂真。

而這些惡意程序的主要功能包括竊取Discord權限，訪問系統(tǒng)資訊，創(chuàng)建于系統(tǒng)上的持久性，以及部署其他的惡意程序等。由于該惡意程序能夠擺布Windows注冊表，而讓用戶每次打開Windows設置程序時，就會執(zhí)行它。

Roblox之所以受到黑客的青睞有許多原因，像是它有龐大的用戶基礎，開發(fā)人員可能獲得可觀的收入；而且Roblox平臺上的開發(fā)人員可能相對年輕且缺乏經驗，更容易落入社交工程的陷阱；不管是Roblox或npm都屬于較容易利用的開放平臺。

Checkmarx表示，雖然已多次刪除惡意的npm封包，但它們依然不斷地出現(xiàn)，現(xiàn)在甚至有些還活躍在npm注冊表中，此外，就算已完全移除惡意的npm封包，但黑客用來植入其他惡意程序的GitHub存儲庫還是處于活動狀態(tài)，是未來攻擊行動的潛在威脅。