'Noblox.js' NPM Malware

Ett nytt hotfullt paket med namnet 'noblox.js-rpc' upptäcktes i npm-registret av cybersäkerhetsforskare. Hotet är utformat för att distribuera flera infostealers som kan erhålla olika känsliga data från de komprometterade maskinerna. Den insamlade informationen kan inkludera kontouppgifter, privata filer samt Windows-registreringsnyckeln. Det sista steget av noblox.js-rpc-attacken inkluderar aktivering av en modul av ransomware-typ.

Tekniska detaljer

Attacken börjar med ett efterinstallationsskript från filen package.json för hotet noblox.js-rpc. Innan resten av den hotande nyttolasten hämtas utförs en kontroll av miljön, eftersom hotet riktar sig mot Windows-systemenbart. Om kontrollen ger ett positivt resultat fortsätter skadlig programvara att köra en setup.bat-fil.

Det här batchskriptet fungerar som en droppare som ansvarar för att ta tag i resten av de körbara filerna som är en del av attacken. Fyra ytterligare körbara filer har identifierats - 'Rar.bat', 'Rar.exe', 'Rara.exe' och 'Mbr.exe.' Batchskriptet lägger också till en allmän uteslutning - 'C:/,' till Windows Defender för att förhindra säkerhetsfunktionen från att störa dess skadliga aktiviteter.

Nästa fas av attacken består av att köra de två infostealers - Rar.exe och Rara.exe. Först körs den anpassade stjälaren Rar.exe för att hämta offrets Minecraft-sessionsfiler och Roblox-cookies. Sedan, för att säkerställa att all känslig data har samlats in, initieras Rara.exe och det fortsätter att samla olika referenser.

Det sista steget ser utplaceringen av ett hot av ransomware-typ, en variant av MBRLocker,eventuellt. Istället för att kryptera offrets data skriver Mbr.exe över systemets Master Boot Record. Om du gör det förhindrar du att hela systemet startas upp igen, vilket blockerar användare från att komma åt alla sina filer. Ett lösenmeddelande kommer att visas för offren, som säger att de måste ansluta sig till en specificerad discord-server för att få ytterligare instruktioner om betalningen. Anteckningen nämner också att den begärda lösen kan variera från $100 till $500. Hackarna varnar också för att efter 48 timmar kommer hela hårddisken att raderas samtidigt som den insamlade informationen kommer att läckas ut till allmänheten.

Noblox.js offer

Det är uppenbart att de främsta offren för hotet är Roblox-spelare. Som sådan har angriparna kommit på ett innovativt sätt att lura sina offer att installera och köra det hotfulla paketet. Hackarna går med i specifika discord-servrar som är dedikerade till att dela anpassade Roblox-spel.

Hackarna låtsas sedan erbjuda användarna en möjlighet att tjäna riktiga pengar, prenumerationer på de betalda nivåerna av Discord, eller Robux, Roblox-valutan i spelet. För att få pengarna måste användare ha bots som tillhandahålls av angriparna. Naturligtvis, istället för de förväntade monetära vinsterna, ges användarna hotet 'Noblox.js' och kommer att drabbas av svåra konsekvenser om de kör den skadade filen.