'Noblox.js' NPM 恶意软件以 Roblox 玩家为目标

网络犯罪分子经常利用创新方法将其有效载荷传送给受害者。近年来，他们中的许多人试图滥用假 NPM 包来实现这一目标。但在我们进入更多细节之前，让我们解释一下 NPM 平台是什么。这是 JavaScript 运行时环境的主要包管理器，称为 Node.JS。世界各地的开发人员使用 npm 平台发布、共享和访问可以完成各种任务的预制 JavaScript 包。尽管所有上传都经过审查过程，但网络犯罪分子有可能绕过这些检查，并将恶意 JavaScript 代码上传到平台上。这正是“Noblox.js”NPM 恶意软件的创建者所做的。

类似的 NPM 攻击发生在 2021 年春季，当时恶意的“web-browserify”恶意软件模仿了合法的 NPM 包。 “Noblox.js”NPM 恶意软件以相同的方式工作，它提供的有效负载可以执行广泛的任务。攻击者的主要重点似乎是窃取文件和凭据，以及在受感染的机器上运行勒索软件。

需要补充的是，“Noblox.js”也是一个合法的项目——犯罪分子正在复制其名称来欺骗用户。

“Noblox.js”NPM 恶意软件是如何交付的？

由于恶意软件似乎以 Roblox 用户为目标，因此其创建者正在使用在线 Roblox 社区传播恶意软件才有意义。为了让他们的报价看起来更合法，他们可能经常提供现金或 Robux（Roblox 游戏中的游戏货币）等奖品。其中一个骗局承诺奖励所有运行 Roblox 机器人一个月的用户。运行机器人的说明包括下载和安装“Noblox.js”NPM 恶意软件。

攻击完成后，受害者可能会感染 MBR 锁定勒索软件，这将阻止他们启动计算机。 “Noblox.js”NPM 恶意软件背后的骗子要求支付赎金以换取解锁受害者的设备。目前，不建议付费——寻求替代恢复解决方案是最好的行动方案。