聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

两个伪装成 Roblox 库的恶意NPM包正在用户机器上传播勒索软件和密码窃取木马。这两个包是 “noblox.js-proxy” 和 “noblox.js-proxies”。

这两个恶意包利用 typo-squatting 技术，更改了合法库“noblox.js-proxied”名称中的一个字母迷惑用户。研究人员指出，这两个恶意包通过 MBRLocker 勒索软件感染受害者，该勒索软件假冒臭名昭著的 GoldenEye 勒索软件、恶意软件和密码窃取木马。目前这两个恶意包已下架。

一系列恶意活动

攻击者将这两个恶意 NPM 包添加到项目中并启动后，将执行postinstall.js 脚本。该脚本一般用于在安装库后执行合法命令，但在这种情况下它会在受害者计算机上启动恶意活动链。如下，postinstall.js 脚本被严重混淆，以阻止安全研究员和软件进行分析。

该脚本执行时，将启动被严重混淆的batch文件 “nobox.bat”，如下。

研究人员解码该batch 文件后发现该文件将绕过从 Discord 下载多种恶意软件并借助 fodhelper.exe UAC进行发布。

Noblox.bat batch 文件下载的文件（按安装顺序）及其说明如下所示。

• Exclude.bat：添加不扫描 C:\drive 下文件的 Microsoft Defender 排除

• Legion.exe：部署密码窃取木马，窃取浏览器历史、cookie、保存的密码并试图通过内置网络摄像头记录视频。

• 000.exe：恶意软件，将当前用户的名称修改为 “UR NEXT”、播放视频、更改用户密码并试图使用户无法登录系统。

• Tunamor.exe：安装MBRLocker “魔鬼勒索软件 (Monster Ransomware)”，假冒 GoldenEye 勒索软件。

“魔鬼“勒索软件 MBRLocker

尤其值得注意的是 “tunamor.exe” 可执行文件，它会安装一款 MBRLocker 并自称为 “魔鬼勒索软件 (Monster Ransomware)“。

魔鬼勒索软件执行时将强制计算机重启，并显示虚假的系统 CHKDSK。在这个进程中，该勒索软件声称已将计算机中的磁盘加密。之后，它将重启计算机并显示骷髅头的锁屏，而这种标志最先出现在 Petya/GoldenEye 勒索软件家族中。按下“Enter” 键，受害者就会看到屏幕上提示他们的硬盘已被加密，必须访问网站（http://monste3rxfp2f7g3i.onion/ Tor）支付赎金才能解密。

研究人员发现了字符串 qVwaofRW5NbLa8gj，它是有效的解密密钥。然而，当接受密钥且该勒索软件指出正在解密计算机后，Windows 却无法启动。

目前尚不清楚是否需要在该字符串之后添加新的字符串才能正确解密，或者该程序只是一个擦除器，目的是破坏系统。该勒索软件看似并未大规模传播，仅通过这些恶意NPM包进行分发。

从000.exe 恶意软件的活动和魔鬼勒索软件的奇怪行为来看，这些恶意包的目的可能是破坏系统而非生成勒索需求。

像此类恶意npm 被用于供应链攻击中的案例越来越常见。此前有研究人员发现三个 NPM 恶意库被用于在 Linux 和 Windows 设备上部署密币挖矿机。上周五，非常流行的 UA-Parser-JS NPM 库遭劫持，通过挖矿机和密码窃取木马感染用户。

IOCs

Exclude.bat0419582ea749cef904856dd1165cbefe041f822dd3ac9a6a1e925afba30fe591

Legion.exea81b7477c70f728a0c3ca14d0cdfd608a0101cf599d31619163cb0be2a152b78

Password stealer

f4fb42c8312a6002a8783e2a1ab4571eb89e92cd192b1a21e8c4582205c37312

000.exe

4a900b344ef765a66f98cf39ac06273d565ca0f5d19f7ea4ca183786155d4a47

tunamor.exe (ransomware)78972cdde1a038f249b481ea2c4b172cc258aa294440333e9c46dcb3fbed5815

推荐阅读

GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞

流行的 NPM 包依赖关系中存在远程代码执行缺陷

如何避免 npm 替换攻击？

Node.js 沙箱易受原型污染攻击

Node.js 易受两个HTTP请求走私漏洞影响

原文链接

https://www.bleepingcomputer.com/news/security/malicious-npm-libraries-install-ransomware-password-stealer/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~