背景图片来源／BlenderTimer on pixabay

资安业者Checkmarx警告，骇客持续锁定Roblox开发人员展开攻击，利用伪造且恶意的npm封包以试图窃取敏感资讯或是危害系统，而且已超过1年。

Roblox是个受到儿童与青少年欢迎的线上游戏平台与游戏创作系统，它内建社交功能，使用自家的虚拟货币Robux，支援PC、手机与游戏机，每月活跃用户数超过2亿，每日活跃用户则超过7,000万。

根据研究人员的调查，骇客主要是仿冒专为Roblox平台开发者设计的JavaScript函式库noblox.js，例如将恶意函式库命名为noblox.js-async、noblox.js-thread 或noblox.js-api等，再藉由npm软件套件管理系统进行散布，相关的恶意npm封包已超过数十款，且许多伪造的封包几乎可以假乱真。

图片来源／Checkmarx

而这些恶意程序的主要功能包括窃取Discord权杖，存取系统资讯，建立于系统上的持久性，以及部署其它的恶意程序等。由于该恶意程序能够摆布Windows登录档，而让使用者每次开启Windows设定程序时，就会执行它。

Roblox之所以受到骇客的青睐有许多原因，像是它有庞大的用户基础，开发人员可能获得可观的收入；而且Roblox平台上的开发人员可能相对年轻且缺乏经验，更容易落入社交工程的陷阱；不管是Roblox或npm都属于较容易利用的开放平台。

Checkmarx表示，虽然已多次删除恶意的npm封包，但它们依然不断地出现，现在甚至有些还活跃在npm注册表中，此外，就算已完全移除恶意的npm封包，但骇客用来植入其它恶意程序的GitHub储存库还是处于活动状态，是未来攻击行动的潜在威胁。