Вредоносные библиотеки NPM устанавливают программы-вымогатели и программы для похищения паролей

34
Ziggurat приобретает более 80 ретро-изданий в рамках сделки с Rainbow Arts

Вредоносные пакеты NPM, выдавающие себя за библиотеки Roblox, доставляют ничего не подозревающим пользователям программы-вымогатели и трояны для кражи паролей.

Два пакета NPM называются noblox.js-proxy и noblox.js-proxies и используют typo-squatting, чтобы притвориться законной оболочкой Roblox API под названием noblox.js-proxied , изменив единственную букву в имени библиотеки.

В новом отчете компании по обеспечению безопасности с открытым исходным кодом Sonatype с дальнейшим анализом, проведенным BleepingComputer, эти вредоносные NPM заражают жертв программой-вымогателем MBRLocker, которая олицетворяет пресловутую программу-вымогатель GoldenEye , троянскую программу и троян, крадущий пароли.

Обе вредоносные библиотеки NPM с тех пор были отключены и больше не доступны.

Беспорядок вредоносной активности

После того, как вредоносные библиотеки NPM будут добавлены в проект и запущены, библиотека выполнит сценарий postinstall.js. Этот сценарий обычно используется для выполнения законных команд после установки библиотеки, но в этом случае он запускает цепочку вредоносных действий на компьютерах жертв.

Как вы можете видеть ниже, сценарий postinstall.js сильно запутан, чтобы предотвратить анализ со стороны исследователей безопасности и программного обеспечения.

Этот командный файл был декодирован исследователем безопасности Sonatype Хуаном Агирре и будет загружать различные вредоносные программы с Discord и запускать их с помощью обхода UAC fodhelper.exe.

Файлы, загруженные пакетным файлом noblox.bat, перечислены ниже в порядке их установки вместе со ссылками на VirusTotal и описанием их действий.

  • exclude.bat  — добавляет исключение Защитника Microsoft, чтобы не сканировать файлы на диске C: \.
  • legion.exe  — развертывает троян,  который крадет историю браузера, файлы cookie, сохраненные пароли и пытается записывать видео через встроенную веб-камеру.
  • 000.exe  — программное обеспечение Trollware, которое изменяет имя текущего пользователя на «UR NEXT», воспроизводит видео, изменяет пароль пользователя и пытается заблокировать его доступ к своей системе.
  • tunamor.exe  — устанавливает MBRLocker под названием Monster Ransomware, который имитирует вымогателя GoldenEye.

Программа-вымогатель Monster MBRLocker

Особый интерес представляет исполняемый файл tunamor.exe, который устанавливает MBRLocker, называющий себя Monster Ransomware.

При запуске программа-вымогатель выполнит принудительную перезагрузку компьютера, а затем отобразит поддельный CHKDSK системы. Во время этого процесса программа-вымогатель якобы шифрует диски на компьютере.

По завершении он перезагрузит компьютер и отобразит экран блокировки черепа и скрещенных костей, который изначально был у программ-вымогателей Petya / GoldenEye.

После нажатия клавиши Enter жертве отображается экран с сообщением о том, что ее жесткие диски зашифрованы и что она должна посетить сайт http://monste3rxfp2f7g3i.onion/ Tor, который сейчас не работает, чтобы заплатить выкуп.

Мы обнаружили строку qVwaofRW5NbLa8gj, которая принимается как действительный ключ для расшифровки компьютера. Однако, хотя ключ принят и программа-вымогатель заявляет, что расшифровывает компьютер, Windows не запустится после этого.

Неясно, должна ли быть добавлена ​​дополнительная строка к этому ключу для правильной расшифровки жесткого диска, или эта программа является просто очистителем, предназначенным для уничтожения систем.

Эта программа-вымогатель не является широко распространенной и, как известно, распространяется только через эти пакеты NPM.

Судя по активности программы-тролля 000.exe и странному поведению программы-вымогателя Monster, вполне вероятно, что эти пакеты предназначены для уничтожения системы, а не для запроса выкупа.

Вредоносные NPM, используемые в атаках на цепочку поставок, таких как эта, становятся все более распространенными.

Sonatype недавно обнаружила три вредоносные библиотеки NPM, используемые для развертывания криптомайнеров на устройствах Linux и Windows.

В прошлую пятницу очень популярная библиотека UA-Parser-JS NPM была взломана для заражения пользователей майнерами и троянами, ворующими пароли.

Предыдущая статьяВ ремейк Resident Evil 2 добавили поддержку VR-шлемов
Следующая статьяСША запрещают China Telecom Americas из-за рисков для национальной безопасности

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь