Вредоносные пакеты NPM, выдавающие себя за библиотеки Roblox, доставляют ничего не подозревающим пользователям программы-вымогатели и трояны для кражи паролей.
Два пакета NPM называются noblox.js-proxy и noblox.js-proxies и используют typo-squatting, чтобы притвориться законной оболочкой Roblox API под названием noblox.js-proxied , изменив единственную букву в имени библиотеки.
В новом отчете компании по обеспечению безопасности с открытым исходным кодом Sonatype с дальнейшим анализом, проведенным BleepingComputer, эти вредоносные NPM заражают жертв программой-вымогателем MBRLocker, которая олицетворяет пресловутую программу-вымогатель GoldenEye , троянскую программу и троян, крадущий пароли.
Обе вредоносные библиотеки NPM с тех пор были отключены и больше не доступны.
Беспорядок вредоносной активности
После того, как вредоносные библиотеки NPM будут добавлены в проект и запущены, библиотека выполнит сценарий postinstall.js. Этот сценарий обычно используется для выполнения законных команд после установки библиотеки, но в этом случае он запускает цепочку вредоносных действий на компьютерах жертв.
Как вы можете видеть ниже, сценарий postinstall.js сильно запутан, чтобы предотвратить анализ со стороны исследователей безопасности и программного обеспечения.
Этот командный файл был декодирован исследователем безопасности Sonatype Хуаном Агирре и будет загружать различные вредоносные программы с Discord и запускать их с помощью обхода UAC fodhelper.exe.
Файлы, загруженные пакетным файлом noblox.bat, перечислены ниже в порядке их установки вместе со ссылками на VirusTotal и описанием их действий.
- exclude.bat — добавляет исключение Защитника Microsoft, чтобы не сканировать файлы на диске C: \.
- legion.exe — развертывает троян, который крадет историю браузера, файлы cookie, сохраненные пароли и пытается записывать видео через встроенную веб-камеру.
- 000.exe — программное обеспечение Trollware, которое изменяет имя текущего пользователя на «UR NEXT», воспроизводит видео, изменяет пароль пользователя и пытается заблокировать его доступ к своей системе.
- tunamor.exe — устанавливает MBRLocker под названием Monster Ransomware, который имитирует вымогателя GoldenEye.
Программа-вымогатель Monster MBRLocker
Особый интерес представляет исполняемый файл tunamor.exe, который устанавливает MBRLocker, называющий себя Monster Ransomware.
При запуске программа-вымогатель выполнит принудительную перезагрузку компьютера, а затем отобразит поддельный CHKDSK системы. Во время этого процесса программа-вымогатель якобы шифрует диски на компьютере.
По завершении он перезагрузит компьютер и отобразит экран блокировки черепа и скрещенных костей, который изначально был у программ-вымогателей Petya / GoldenEye.
После нажатия клавиши Enter жертве отображается экран с сообщением о том, что ее жесткие диски зашифрованы и что она должна посетить сайт http://monste3rxfp2f7g3i.onion/ Tor, который сейчас не работает, чтобы заплатить выкуп.
Мы обнаружили строку qVwaofRW5NbLa8gj, которая принимается как действительный ключ для расшифровки компьютера. Однако, хотя ключ принят и программа-вымогатель заявляет, что расшифровывает компьютер, Windows не запустится после этого.
Неясно, должна ли быть добавлена дополнительная строка к этому ключу для правильной расшифровки жесткого диска, или эта программа является просто очистителем, предназначенным для уничтожения систем.
Эта программа-вымогатель не является широко распространенной и, как известно, распространяется только через эти пакеты NPM.
Судя по активности программы-тролля 000.exe и странному поведению программы-вымогателя Monster, вполне вероятно, что эти пакеты предназначены для уничтожения системы, а не для запроса выкупа.
Вредоносные NPM, используемые в атаках на цепочку поставок, таких как эта, становятся все более распространенными.
Sonatype недавно обнаружила три вредоносные библиотеки NPM, используемые для развертывания криптомайнеров на устройствах Linux и Windows.
В прошлую пятницу очень популярная библиотека UA-Parser-JS NPM была взломана для заражения пользователей майнерами и троянами, ворующими пароли.
