Il malware NPM "Noblox.js" prende di mira i giocatori Roblox

I criminali informatici spesso sfruttano metodi innovativi per consegnare i loro payload alle vittime. Negli ultimi anni, molti di loro hanno provato ad abusare di pacchetti NPM falsi per raggiungere questo obiettivo. Ma prima di entrare nei dettagli, spieghiamo cos'è la piattaforma NPM. Questo è il gestore di pacchetti principale per l'ambiente di runtime JavaScript noto come Node.JS. Gli sviluppatori di tutto il mondo utilizzano la piattaforma npm per pubblicare, condividere e accedere a pacchetti JavaScript predefiniti in grado di svolgere ogni tipo di attività. Sebbene tutti i caricamenti vengano sottoposti a un processo di verifica, è possibile che i criminali informatici eludano questi controlli e carichino codice JavaScript dannoso sulla piattaforma. Questo è esattamente ciò che hanno fatto i creatori del malware NPM "Noblox.js".

Un simile attacco NPM è stato effettuato nella primavera del 2021 quando il malware dannoso "browserify web" ha imitato un pacchetto NPM legittimo . Il malware NPM "Noblox.js" funziona allo stesso modo e il payload che fornisce può svolgere un'ampia gamma di attività. Sembra che l'obiettivo principale degli aggressori sia il furto di file e credenziali, nonché l'esecuzione di ransomware sulla macchina compromessa.

È importante aggiungere che anche il "Noblox.js" è un progetto legittimo: i criminali stanno copiando il suo nome per ingannare gli utenti.

Come viene consegnato il malware NPM "Noblox.js"?

Poiché il malware sembra prendere di mira gli utenti Roblox, ha senso solo che i suoi creatori utilizzino le comunità Roblox online per diffondere il malware. Per far sembrare la loro offerta più legittima, possono spesso offrire premi come denaro o Robux, la valuta di gioco nel gioco Roblox. Una delle truffe promette di premiare tutti gli utenti che eseguono un bot Roblox per un mese. Le istruzioni per eseguire il bot prevedono il download e l'installazione del malware NPM "Noblox.js".

Al termine dell'attacco, le vittime potrebbero essere infettate da un ransomware che blocca l'MBR, che impedirà loro di avviare il computer. I truffatori dietro il malware NPM "Noblox.js" richiedono il pagamento di un riscatto in cambio dello sblocco del dispositivo della vittima. Attualmente, non è consigliabile pagare: la ricerca di soluzioni di recupero alternative è la migliore linea d'azione.