'Noblox.js' NPM-malware richt zich op Roblox-spelers
Cybercriminelen maken vaak gebruik van innovatieve methoden om hun payloads aan slachtoffers te leveren. In de afgelopen jaren hebben velen van hen geprobeerd valse NPM-pakketten te misbruiken om dit te bereiken. Maar laten we, voordat we ingaan op meer details, uitleggen wat het NPM-platform is. Dit is de primaire pakketbeheerder voor de JavaScript-runtimeomgeving die bekend staat als Node.JS. Ontwikkelaars over de hele wereld gebruiken het npm-platform om vooraf gemaakte JavaScript-pakketten te publiceren, te delen en te openen die allerlei taken kunnen uitvoeren. Hoewel alle uploads een controleproces doorlopen, is het voor cybercriminelen mogelijk om deze controles te omzeilen en kwaadaardige JavaScript-code naar het platform te uploaden. Dit is precies wat de makers van de 'Noblox.js' NPM Malware hebben gedaan.
Een vergelijkbare NPM-aanval werd uitgevoerd in het voorjaar van 2021 toen de kwaadaardige 'web-browserify'-malware een legitiem NPM-pakket nabootste . De 'Noblox.js' NPM Malware werkt op dezelfde manier, en de payload die het levert kan een breed scala aan taken uitvoeren. Het lijkt erop dat de aanvallers zich primair richten op het stelen van bestanden en inloggegevens, evenals het uitvoeren van ransomware op de gecompromitteerde machine.
Het is belangrijk om toe te voegen dat de 'Noblox.js' ook een legitiem project is - de criminelen kopiëren zijn naam om gebruikers te misleiden.
Hoe wordt de 'Noblox.js' NPM-malware geleverd?
Aangezien de malware zich lijkt te richten op Roblox-gebruikers, is het alleen maar logisch dat de makers online Roblox-gemeenschappen gebruiken om de malware te verspreiden. Om hun aanbod legitiemer te laten lijken, kunnen ze vaak prijzen aanbieden zoals contant geld of Robux, de in-game valuta in het Roblox-spel. Een van de oplichtingspraktijken belooft alle gebruikers te belonen die een maand lang een Roblox-bot gebruiken. De instructies om de bot uit te voeren, omvatten het downloaden en installeren van de 'Noblox.js' NPM-malware.
Nadat de aanval is voltooid, kunnen slachtoffers worden geïnfecteerd met een MBR-locking ransomware, waardoor ze hun computer niet kunnen opstarten. De boeven achter de 'Noblox.js' NPM Malware eisen losgeld in ruil voor het ontgrendelen van het apparaat van het slachtoffer. Momenteel wordt het niet aangeraden om te betalen - het zoeken naar alternatieve hersteloplossingen is de beste manier van handelen.
