'Noblox.js' NPM 악성코드

'Noblox.js' NPM 악성코드

사이버 보안 연구원이 npm 레지스트리에서 'noblox.js-rpc'라는 새로운 위협 패키지를 발견했습니다. 위협은 손상된 시스템에서 다양한 민감한 데이터를 얻을 수 있는 여러 정보 스틸러를 배포하도록 설계되었습니다. 수집된 데이터에는 계정 자격 증명, 개인 파일 및 Windows 등록 키가 포함될 수 있습니다. noblox.js-rpc 공격의 마지막 단계에는 랜섬웨어 유형의 모듈 활성화가 포함됩니다.

기술적 세부 사항

공격은 noblox.js-rpc 위협의 package.json 파일에 있는 설치 후 스크립트로 시작됩니다. 나머지 위협 페이로드를 가져오기 전에 위협이 Windows 시스템을 대상으로 하므로 환경 확인을 수행합니다.혼자서. 검사 결과가 긍정적이면 멀웨어가 setup.bat 파일을 계속 실행합니다.

이 배치 스크립트는 공격의 일부인 나머지 실행 파일을 잡는 역할을 하는 드롭퍼로 작동합니다. 4개의 추가 실행 파일('Rar.bat', 'Rar.exe', 'Rara.exe', 'Mbr.exe')이 확인되었습니다. 배치 스크립트는 또한 Windows Defender에 일반 제외('C:/')를 추가하여 보안 기능이 유해한 활동을 방해하지 못하도록 합니다.

공격의 다음 단계는 두 개의 인포스틸러인 Rar.exe와 Rara.exe를 실행하는 것입니다. 먼저 커스텀 스틸러 Rar.exe를 실행하여 피해자의 Minecraft 세션 파일과 Roblox 쿠키를 획득합니다. 그런 다음 모든 중요한 데이터가 수집되었는지 확인하기 위해 Rara.exe가 시작되고 다양한 자격 증명을 수집합니다.

마지막 단계는 MBRLocker의 변종인 랜섬웨어 유형의 위협이 배포되는 것을 봅니다.혹시. 피해자의 데이터를 암호화하는 대신 Mbr.exe는 시스템의 마스터 부트 레코드를 덮어씁니다. 그렇게 하면 전체 시스템이 다시 부팅되지 않고 사용자가 모든 파일에 액세스할 수 없습니다. 지불에 대한 추가 지침을 받으려면 지정된 디스코드 서버에 가입해야 한다는 랜섬 메시지가 피해자에게 표시됩니다. 메모에는 요구되는 몸값이 100달러에서 500달러 사이일 수 있다고 언급되어 있습니다. 해커들은 또한 48시간이 지나면 전체 하드 드라이브가 지워지고 수집된 정보가 대중에게 유출될 것이라고 경고합니다.

Noblox.js의 피해자

위협의 주요 피해자는 Roblox 플레이어임이 분명합니다. 따라서 공격자는 피해자를 속여서 위협적인 패키지를 설치하고 실행하도록 하는 혁신적인 방법을 고안했습니다. 해커는 맞춤형 Roblox 게임을 공유하기 위한 전용 디스코드 서버에 합류합니다.

그런 다음 해커는 사용자에게 실제 돈을 벌 수 있는 기회, Discord의 유료 계층 구독 또는 게임 내 Roblox 통화인 Robux를 제공하는 척합니다. 돈을 얻으려면 사용자는 공격자가 제공하는 봇을 호스팅해야 합니다. 물론 예상되는 금전적 이득 대신 'Noblox.js' 위협이 사용자에게 주어지며 손상된 파일을 실행하면 끔찍한 결과를 겪게 됩니다.

트렌드

로드 중...