'Noblox.js' NPM Malware

साइबर सुरक्षा शोधकर्ताओं द्वारा npm रजिस्ट्री पर 'noblox.js-rpc' नाम के एक नए धमकी भरे पैकेज का पता लगाया गया। खतरे को कई इन्फोस्टीलर्स को तैनात करने के लिए डिज़ाइन किया गया है जो समझौता की गई मशीनों से विभिन्न संवेदनशील डेटा प्राप्त करने में सक्षम हैं। एकत्रित डेटा में खाता क्रेडेंशियल, निजी फ़ाइलें, साथ ही विंडोज़ पंजीकरण कुंजी शामिल हो सकती है। noblox.js-rpc हमले के अंतिम चरण में रैंसमवेयर-प्रकार मॉड्यूल को सक्रिय करना शामिल है।

तकनीकी जानकारी

हमले की शुरुआत noblox.js-rpc खतरे की package.json फ़ाइल से एक पोस्ट-इंस्टॉल स्क्रिप्ट के साथ होती है। बाकी खतरनाक पेलोड लाने से पहले, पर्यावरण की जांच की जाती है, क्योंकि खतरा विंडोज सिस्टम पर लक्षित होता हैअकेले। यदि चेक एक सकारात्मक परिणाम देता है, तो मैलवेयर एक setup.bat फ़ाइल को निष्पादित करने के लिए आगे बढ़ता है।

यह बैच स्क्रिप्ट एक ड्रॉपर के रूप में कार्य करती है जो हमले का हिस्सा होने वाले बाकी निष्पादन योग्य को हथियाने के लिए जिम्मेदार है। चार अतिरिक्त निष्पादन योग्य की पहचान की गई है - 'Rar.bat,' 'Rar.exe,' 'Rara.exe,' और 'Mbr.exe'। बैच स्क्रिप्ट सुरक्षा सुविधा को इसकी हानिकारक गतिविधियों में हस्तक्षेप करने से रोकने के लिए विंडोज डिफेंडर में एक सामान्य बहिष्करण - 'सी:/' भी जोड़ती है।

हमले के अगले चरण में दो इन्फोस्टीलर्स - Rar.exe और Rara.exe चलाना शामिल है। सबसे पहले, कस्टम चोरी करने वाले Rar.exe को पीड़ित की Minecraft सत्र फ़ाइलों और Roblox कुकीज़ को प्राप्त करने के लिए निष्पादित किया जाता है। फिर, यह सुनिश्चित करने के लिए कि सभी संवेदनशील डेटा काटा गया है, Rara.exe शुरू किया गया है और यह विभिन्न क्रेडेंशियल्स को इकट्ठा करने के लिए आगे बढ़ता है।

अंतिम चरण में रैंसमवेयर-प्रकार के खतरे की तैनाती देखी जाती है, जो MBRLocker का एक प्रकार है,संभवतः। पीड़ित के डेटा को एन्क्रिप्ट करने के बजाय, Mbr.exe सिस्टम के मास्टर बूट रिकॉर्ड को अधिलेखित कर देता है। ऐसा करने से पूरे सिस्टम को फिर से बूट होने से रोका जा सकेगा, उपयोगकर्ताओं को उनकी सभी फाइलों तक पहुंचने से रोक दिया जाएगा। पीड़ितों को एक फिरौती संदेश प्रदर्शित किया जाएगा, जिसमें कहा जाएगा कि भुगतान के बारे में अतिरिक्त निर्देश प्राप्त करने के लिए उन्हें एक निर्दिष्ट कलह सर्वर से जुड़ने की आवश्यकता होगी। नोट में यह भी उल्लेख किया गया है कि फिरौती की मांग $ 100 से $ 500 तक हो सकती है। हैकर्स ने यह भी चेतावनी दी है कि 48 घंटों के बाद, पूरी हार्ड ड्राइव मिटा दी जाएगी जबकि एकत्रित जानकारी जनता के लिए लीक हो जाएगी।

Noblox.js के शिकार

यह स्पष्ट है कि खतरे के मुख्य शिकार Roblox खिलाड़ी हैं। इस प्रकार, हमलावर अपने पीड़ितों को धमकाने वाले पैकेज को स्थापित करने और चलाने के लिए एक नया तरीका लेकर आए हैं। हैकर्स कस्टम रोबॉक्स गेम को साझा करने के लिए समर्पित विशिष्ट डिस्कॉर्ड सर्वर से जुड़ते हैं।

हैकर्स तब उपयोगकर्ताओं को वास्तविक धन अर्जित करने का अवसर प्रदान करने का दिखावा करते हैं, डिस्कॉर्ड के भुगतान किए गए स्तरों की सदस्यता, या रॉबक्स, इन-गेम रोबॉक्स मुद्रा। पैसा पाने के लिए, उपयोगकर्ताओं को हमलावरों द्वारा प्रदान किए गए बॉट्स को होस्ट करने की आवश्यकता होगी। बेशक, अपेक्षित मौद्रिक लाभ के बजाय, उपयोगकर्ताओं को 'Noblox.js' की धमकी दी जाती है और यदि वे दूषित फ़ाइल चलाते हैं तो उन्हें गंभीर परिणाम भुगतने होंगे।