28/10/21
Специалисты ИБ-компании Sonatype обнаружили вредоносные NPM-пакеты, распространявшие под видом библиотек Roblox вымогательское ПО и инфостилеры.
Речь идет о двух NPM-пакетах - noblox.js-proxy и noblox.js-proxies. Как видно из названия, злоумышленники использовали тайпсквоттинг (использование слов, близких к написанию известных названий в расчете на ошибку пользователей), чтобы убедить жертв, будто это легитимная API обертка Roblox под названием noblox.js-proxied.
Вредоносные NPM-пакеты заражали жертв вымогательским ПО MBRLocker, выдаваемым киберпреступниками за нашумевшый шифровальщик GoldenEye, trollware-программами (неопасным ПО, главной целью которого является раздражение пользователя и троллинг) и трояном для похищения паролей.
В настоящее время обе вредоносные NPM-библиотеки больше не доступны.
После добавления в проект и запуска вредоносных NPM-библиотек выполняется скрипт postinstall.js. Обычно скрипт используется для выполнения легитимных команд после установки библиотек, но в данном случае он запускает на компьютере жертвы цепочку вредоносных действий.
После выполнения скрипт запускает сильно обфусцированный файл batch с именем nobox.bat.
Большой интерес представляет исполняемый файл tunamor.exe, устанавливающий на систему жертвы вымогательское ПО MBRLocker, называющее себя Monster Ransomware. После выполнения вымогатель инициирует принудительный перезапуск компьютера, после чего на экране отображается поддельное окно CHKDSK. Тем временем MBRLocker шифрует данные на жестких дисках.
По завершении процесса шифрования компьютер перезагружается, и на экране появляется логотип вымогательского ПО Petya/GoldenEye в виде черепа и перекрещенных костей.
После нажатия на клавишу ввода на экран выводится записка с требованием выкупа.
Данное вымогательское ПО не является широко распространенным и заражало компьютеры только через два вышеупомянутых NPM-пакета.
Судя по активности trollware-программы 000.exe и странного поведения Monster Ransomware, эти пакеты были созданы с целью выведения из строя системы, а не получения выкупа.
Напомним , ранее в этом месяце специалисты Sonatype обнаружили ПО для майнинга криптовалюты в трех JavaScript-библиотеках, загруженных в официальный репозиторий NPM. Вредоносные пакеты okhsa, klow и klown были замаскированы под парсеры заголовка User-Agent и загружены одним и тем же автором 15 октября.
