کتابخانه های مخرب NPM باج افزار نصب می کنند

بسته‌های مخرب NPM (node package manager) که خود را به عنوان کتابخانه‌های Roblox جا می‌زنند، باج‌افزار‌ها و تروجان‌های سرقت رمزعبور را به کاربران ناآگاه منتقل می‌کنند.

دو بسته NPM با نام‌های noblox.js-proxy و noblox.js.proxies می‌باشند و از Typosquatting (سرقت لینک) استفاده می‌کنند تا خود را به عنوان یک جزء نرم‌افزاری از Roblox API اصلی به نام noblox.jsproxied قرار دهند که از طریق تغییر تنها یک حرف در نام کتابخانه این امر صورت می‌گیرد.

در گزارشی جدید از سوی شرکت امنیتی منبع باز Sonatype با همکاری سایت BleepingComputer، این NPM های مخرب قربانیان را با یک باج افزار MBRLocker که جعل باج افزار بدنام trollware ،GoldenEye و یک تروجان سرقت رمز عبور است، آلوده می‌کنند.

هر دوی این کتابخانه‌های مخرب NPM از کار افتاده‌اند و دیگر قابل دسترسی نیستند.

حجم عظیمی از فعالیت‌های مخرب

بعد از اینکه کتابخانه‌های مخرب NPM به پروژه اضافه و اجرا شدند، کتابخانه یک اسکریپت postinstall.js را اجرا می‌کند. این اسکریپت در حالت عادی برای اجرای دستورات مجاز بعد از نصب کتابخانه به کار می‌رود، اما در این مورد این اسکریپت با مجموعه‌ای از فعالیت‌های مخرب بر روی رایانه قربانی شروع به کار می‌کند.

فایل‌هایی که پس از زنجیره‌ای از عملیات مخرب دانلود می‌شوند، به ترتیب نصب آنها در زیر آورده شده‌اند:

  • exclude.bat: یک استثنا به مایکروسافت دیفندر اضافه می‌کند تا فایل‌های موجود در آدرس \:C را بررسی نکند.
  • Legion.exe: یک تروجان سرقت رمز عبور را مستقر می‌کند که تاریخچه مرورگر، کوکی‌ها و رمز‌های ذخیره شده را سرقت کرده و همچنین از طریق وب کم داخلی تصاویری را ضبط می‌کند.
  • 000.exe: یک نوع trollware است که نام کاربری کنونی سیستم را به ‘UR NEXT’ تغییر می‌دهد، ویدئو به نمایش می‌گذارد، رمز عبور کاربر را تغییر می‌دهد و سعی می‌کند با قرار دادن پسورد بر روی سیستم از ورود کاربر جلوگیری کند.
  • Tunamor.exe: یک باج‌افزار MBRLocker به نام “Monster” را نصب می‌کند که باج‌افزار GoldenEye را جعل می‌کند.
باج‌افزار MBRLocker

یکی از جالب‌ترین فایل‌های اجرایی «tunamor.exe» است که MBRLocker را نصب می‌کند که خود را «Monster Ransomware» می‌نامد.

زمانی که این پردازه اجرا شود، باج‌افزار به صورت اجباری رایانه را ری استارت کرده و یک CHKDSK تقلبی را بر روی سیستم نشان می‌دهد. در طول این روند، ظاهراً باج‌افزار دیسک‌های رایانه‌ای را رمزگذاری می‌کند.

زمانی که این روند به پایان رسید، باج‌افزار رایانه را ریبوت کرده و یک تصویر اسکلت را بر روی صفحه قفل شده نشان می‌دهد که در خانواده‌های Petya/GoldenEye می‌توان نمونه آنها را مشاهده کرد.

بعد از اینکه دکمه Enter‌ زده شود، قربانی با صفحه‌ای مواجه می‌شود که اعلام می‌کند هارد دیسک‌ قفل شده است و باید به سایت http://monste3rxfp2f۷g3i.onion در مرورگر Tor مراجعه نماید تا باج خود را پرداخت کند. البته این سایت در حال حاضر غیرفعال است.

به نظر می‌رسد که کلیدواژه ” qVwaofRW5NbLa8gj” به عنوان کلید رمزگشایی مورد قبول این باج‌افزار است. البته، بعد از اینکه رمزگشایی از سوی باج‌افزار تأیید شد دیگر ویندوز بالا نخواهد آمد.

دقیقا مشخص نیست که آیا باید یک رشته اضافی به کلید این باج‌افزار برای رمزگشایی صحیح فایل‌ها اضافه کرد یا اینکه این بدافزار تنها یک وایپر برای حذف اطلاعات می‌باشد.

به نظر می‌رسد این باج افزار به طور وسیع به کار گرفته نشده است و تنها از طریق بسته‌های NPM توزیع می‌شود. اما به‌کارگیری NPM‌های مخرب که در حمله‌های زنجیره‌ای به کار می‌روند، در حال تبدیل شدن به یک روش رایج می‌باشند.