A „Noblox.js” NPM kártevő a Roblox-lejátszókat célozza meg

A kiberbűnözők gyakran innovatív módszereket alkalmaznak, hogy szállítsák rakományaikat az áldozatokhoz. Az elmúlt években sokan megpróbáltak visszaélni hamis NPM-csomagokkal ennek érdekében. Mielőtt azonban további részletekbe mennénk, magyarázzuk el, mi az NPM platform. Ez a Node.JS néven ismert JavaScript futási környezet elsődleges csomagkezelője. A fejlesztők szerte a világon az npm platformot használják előre elkészített JavaScript-csomagok közzétételére, megosztására és elérésére, amelyek mindenféle feladat elvégzésére képesek. Bár minden feltöltés átvizsgáláson megy keresztül, lehetséges, hogy a kiberbűnözők megkerülhetik ezeket az ellenőrzéseket, és rosszindulatú JavaScript-kódot tölthetnek fel a platformra. Pontosan ezt tették a „Noblox.js” NPM Malware készítői.

Hasonló NPM-támadást hajtottak végre 2021 tavaszán, amikor a rosszindulatú „web-browserify” rosszindulatú program egy legális NPM-csomagot utánzott . A „Noblox.js” NPM Malware ugyanúgy működik, és az általa szállított hasznos teher a feladatok széles skáláját képes elvégezni. Úgy tűnik, hogy a támadók elsődleges célja a fájlok és hitelesítő adatok ellopása, valamint a ransomware futtatása a feltört gépen.

Fontos hozzátenni, hogy a „Noblox.js” is legitim projekt – a bűnözők a nevét másolják, hogy megtévesszék a felhasználókat.

Hogyan történik a „Noblox.js” NPM rosszindulatú program kézbesítése?

Mivel úgy tűnik, hogy a rosszindulatú program a Roblox-felhasználókat célozza meg, logikus, hogy készítői online Roblox-közösségeket használnak a kártevő terjesztésére. Annak érdekében, hogy ajánlatuk jogosabbnak tűnjön, gyakran felajánlhatnak olyan díjakat, mint a készpénz vagy a Robux, a Roblox játék játékbeli pénzneme. Az egyik csalás azt ígéri, hogy egy hónapig jutalmazzák az összes olyan felhasználót, aki Roblox botot futtat. A bot futtatásához szükséges utasítások magukban foglalják a „Noblox.js” NPM rosszindulatú program letöltését és telepítését.

A támadás befejezése után az áldozatok megfertőződhetnek egy MBR-zárolású zsarolóprogrammal, amely megakadályozza, hogy elindítsák számítógépüket. A „Noblox.js” NPM Malware mögött álló szélhámosok váltságdíjat követelnek az áldozat eszközének feloldásáért cserébe. Jelenleg nem tanácsos fizetni – alternatív helyreállítási megoldások keresése a legjobb megoldás.