Thư viện NPM độc hại lén lút cài đặt trình đánh cắp thông tin và ransomware

DDos

VIP Members
22/10/2013
524
2.191 bài viết
Thư viện NPM độc hại lén lút cài đặt trình đánh cắp thông tin và ransomware
Kẻ tấn công gần đây đã xuất bản hai thư viện độc hại giả mạo một gói hợp pháp từ Roblox vào kho lưu trữ NPM chính thức với mục tiêu phân phối trình đánh cắp thông tin đăng nhập, cài đặt trojan truy cập từ xa và lây nhiễm ransomware hệ thống bị xâm nhập.

Screenshot 2021-10-29 100727.png

Gói độc hại "noblox.js-proxy" và "noblox.js-proxies" đã mạo danh một thư viện có tên "noblox.js", một trình bao bọc API (API wrapper) trò chơi Roblox có sẵn trên NPM. Thư viện noblox.js có gần 20.000 lượt tải xuống hàng tuần, trong khi đó hai gói độc hại được tải xuống tương ứng là 281 và 106 lượt.

Screenshot 2021-10-29 100741.png

Nhà nghiên cứu của Sonatype, Juan Aguirre phát hiện ra các gói NPM độc hại cho biết, tác giả của gói noblox.js-proxy ban đầu xuất bản một phiên bản an toàn, sau đó thêm một tập lệnh Batch được triển khai sau khi cài đặt tệp JavaScript bằng kỹ thuật che giấu mã (Obfuscated).

Tập lệnh Batch này tải xuống các tệp thực thi độc hại từ mạng phân phối nội dung (CDN) của Discord có nhiệm vụ vô hiệu hóa các công cụ chống phần mềm độc hại, đạt được sự bền bỉ trên máy chủ, lấy thông tin đăng nhập của trình duyệt và thậm chí triển khai các tệp nhị phân với khả năng của một ransomware.

Nghiên cứu gần đây từ Check Point Research và RiskIQ thuộc sở hữu của Microsoft đã tiết lộ cách các tác nhân đe dọa lạm dụng Discord CDN, một nền tảng với 150 triệu người dùng, để liên tục phân phối 27 họ phần mềm độc hại duy nhất, từ backdoor và trình đánh cắp mật khẩu đến phần mềm gián điệp và trojan.

Hiện tại, cả hai thư viện NPM độc hại đã bị gỡ xuống và không còn khả dụng nữa, nhưng những phát hiện này là một dấu hiệu khác cho thấy cách các cơ quan đăng ký mã phổ biến như NPM, PyPI và RubyGems đã trở thành một kho để lưu trữ và phát tán các phần mềm độc hại.

Theo: thehackernews
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
npm ransomware roblox
Bên trên