'Noblox.js' NPM-Malware zielt auf Roblox-Spieler ab

Cyberkriminelle nutzen häufig innovative Methoden, um ihre Nutzlasten an die Opfer zu übermitteln. In den letzten Jahren haben viele von ihnen versucht, gefälschte NPM-Pakete zu missbrauchen, um dies zu erreichen. Aber bevor wir auf weitere Details eingehen, wollen wir erklären, was die NPM-Plattform ist. Dies ist der primäre Paketmanager für die als Node.JS bekannte JavaScript-Laufzeitumgebung. Entwickler auf der ganzen Welt verwenden die npm-Plattform, um vorgefertigte JavaScript-Pakete zu veröffentlichen, zu teilen und darauf zuzugreifen, die alle möglichen Aufgaben erfüllen können. Obwohl alle Uploads einen Überprüfungsprozess durchlaufen, ist es für Cyberkriminelle möglich, diese Überprüfungen zu umgehen und bösartigen JavaScript-Code auf die Plattform hochzuladen. Genau das haben die Macher der NPM-Malware „Noblox.js“ getan.

Ein ähnlicher NPM-Angriff wurde im Frühjahr 2021 durchgeführt, als die bösartige „Webbrowserify“-Malware ein legitimes NPM-Paket nachahmte . Die NPM-Malware „Noblox.js“ funktioniert auf die gleiche Weise, und die von ihr gelieferte Nutzlast kann eine Vielzahl von Aufgaben ausführen. Es scheint, dass das Hauptaugenmerk der Angreifer auf dem Stehlen von Dateien und Anmeldeinformationen sowie dem Ausführen von Ransomware auf dem kompromittierten Computer liegt.

Es ist wichtig hinzuzufügen, dass „Noblox.js“ auch ein legitimes Projekt ist – die Kriminellen kopieren seinen Namen, um Benutzer zu täuschen.

Wie wird die NPM-Malware „Noblox.js“ ausgeliefert?

Da die Malware anscheinend auf Roblox-Benutzer abzielt, ist es nur sinnvoll, dass ihre Schöpfer Online-Roblox-Communitys verwenden, um die Malware zu verbreiten. Um ihr Angebot legitimer erscheinen zu lassen, bieten sie oft Preise wie Bargeld oder Robux, die Spielwährung im Roblox-Spiel, an. Einer der Betrügereien verspricht, alle Benutzer, die einen Roblox-Bot betreiben, einen Monat lang zu belohnen. Die Anweisungen zum Ausführen des Bots beinhalten das Herunterladen und Installieren der NPM-Malware „Noblox.js“.

Nach Abschluss des Angriffs werden die Opfer möglicherweise mit einer MBR-sperrenden Ransomware infiziert, die sie daran hindert, ihren Computer zu starten. Die Gauner hinter der NPM-Malware „Noblox.js“ fordern eine Lösegeldzahlung als Gegenleistung für das Entsperren des Geräts des Opfers. Derzeit wird von einer Zahlung abgeraten – die Suche nach alternativen Wiederherstellungslösungen ist die beste Vorgehensweise.