'Noblox.js' NPM Malware

'Noblox.js' NPM Malware

网络安全研究人员在 npm Registry 上检测到一个名为“noblox.js-rpc”的新威胁包。该威胁旨在部署多个能够从受感染机器获取各种敏感数据的信息窃取者。收集的数据可以包括帐户凭据、私人文件以及 Windows 注册密钥。 noblox.js-rpc 攻击的最后阶段包括激活勒索软件类型的模块。

技术细节

攻击从 noblox.js-rpc 威胁的 package.json 文件中的安装后脚本开始。在获取其余的威胁有效载荷之前,会执行环境检查,因为威胁针对的是 Windows 系统独自。如果检查返回阳性结果,恶意软件将继续执行 setup.bat 文件。

这个批处理脚本作为一个释放器运行,负责抓取作为攻击一部分的其余可执行文件。已识别出另外四个可执行文件——“Rar.bat”、“Rar.exe”、“Rara.exe”和“Mbr.exe”。批处理脚本还向 Windows Defender 添加了一般排除项 -“C:/”,以阻止安全功能干扰其有害活动。

攻击的下一阶段包括运行两个信息窃取程序——Rar.exe 和 Rara.exe。首先,执行自定义窃取程序 Rar.exe 以获取受害者的 Minecraft 会话文件和 Roblox cookie。然后,为确保收集到所有敏感数据,启动 Rara.exe 并继续组装各种凭据。

最后一步是部署勒索软件类型的威胁,这是 MBRLocker 的变种,可能。 Mbr.exe 不是加密受害者的数据,而是覆盖系统的主引导记录。这样做会阻止整个系统再次启动,从而阻止用户访问他们的所有文件。将向受害者显示一条赎金消息,说明他们需要加入指定的 Discord 服务器才能接收有关付款的其他说明。该说明还提到,所要求的赎金可能从 100 美元到 500 美元不等。黑客还警告说,48 小时后,整个硬盘将被擦除,同时收集到的信息将泄露给公众。

Noblox.js 的受害者

很明显,威胁的主要受害者是 Roblox 玩家。因此,攻击者想出了一种创新方法来诱骗受害者安装和运行威胁包。黑客加入了专门用于共享自定义 Roblox 游戏的特定 Discord 服务器。

然后黑客假装为用户提供赚取真钱的机会,订阅 Discord 或 Robux(游戏中的 Roblox 货币)的付费层。为了获得资金,用户需要托管攻击者提供的机器人。当然,用户得到的不是预期的金钱收益,而是“Noblox.js”威胁,如果他们运行损坏的文件,他们将遭受可怕的后果。

趋势

最受关注

正在加载...