'Noblox.js' NPM Malware

網絡安全研究人員在 npm Registry 上檢測到一個名為“noblox.js-rpc”的新威脅包。該威脅旨在部署多個能夠從受感染機器獲取各種敏感數據的信息竊取者。收集的數據可以包括帳戶憑據、私人文件以及 Windows 註冊密鑰。 noblox.js-rpc 攻擊的最後階段包括激活勒索軟件類型的模塊。

技術細節

攻擊從 noblox.js-rpc 威脅的 package.json 文件中的安裝後腳本開始。在獲取其餘的威脅有效載荷之前，會執行環境檢查，因為威脅針對的是 Windows 系統獨自。如果檢查返回陽性結果，惡意軟件將繼續執行 setup.bat 文件。

這個批處理腳本作為一個釋放器運行，負責抓取作為攻擊一部分的其餘可執行文件。已識別出另外四個可執行文件——“Rar.bat”、“Rar.exe”、“Rara.exe”和“Mbr.exe”。批處理腳本還向 Windows Defender 添加了一般排除項 -“C:/”，以阻止安全功能干擾其有害活動。

攻擊的下一階段包括運行兩個信息竊取程序——Rar.exe 和 Rara.exe。首先，執行自定義竊取程序 Rar.exe 以獲取受害者的 Minecraft 會話文件和 Roblox cookie。然後，為確保收集到所有敏感數據，啟動 Rara.exe 並繼續組裝各種憑據。

最後一步是部署勒索軟件類型的威脅，這是 MBRLocker 的變種，可能。 Mbr.exe 不是加密受害者的數據，而是覆蓋系統的主引導記錄。這樣做會阻止整個系統再次啟動，從而阻止用戶訪問他們的所有文件。將向受害者顯示一條贖金消息，說明他們需要加入指定的 Discord 服務器才能接收有關付款的其他說明。該說明還提到，所要求的贖金可能從 100 美元到 500 美元不等。黑客還警告說，48 小時後，整個硬盤將被擦除，同時收集到的信息將洩露給公眾。

Noblox.js 的受害者

很明顯，威脅的主要受害者是 Roblox 玩家。因此，攻擊者想出了一種創新方法來誘騙受害者安裝和運行威脅包。黑客加入了專門用於共享自定義 Roblox 遊戲的特定 Discord 服務器。

然後黑客假裝為用戶提供賺取真錢的機會，訂閱 Discord 或 Robux（遊戲中的 Roblox 貨幣）的付費層。為了獲得資金，用戶需要託管攻擊者提供的機器人。當然，用戶得到的不是預期的金錢收益，而是“Noblox.js”威脅，如果他們運行損壞的文件，他們將遭受可怕的後果。