بستههای مخرب NPM (node package manager) که خود را به عنوان کتابخانههای Roblox جا میزنند، باجافزارها و تروجانهای سرقت رمزعبور را به کاربران ناآگاه منتقل میکنند.
دو بسته NPM با نامهای noblox.js-proxy و noblox.js.proxies میباشند و از Typosquatting (سرقت لینک) استفاده میکنند تا خود را به عنوان یک جزء نرمافزاری از Roblox API اصلی به نام noblox.jsproxied قرار دهند که از طریق تغییر تنها یک حرف در نام کتابخانه این امر صورت میگیرد.
در گزارشی جدید از سوی شرکت امنیتی منبع باز Sonatype با همکاری سایت BleepingComputer، این NPM های مخرب قربانیان را با یک باج افزار MBRLocker که جعل باج افزار بدنام trollware ،GoldenEye و یک تروجان سرقت رمز عبور است، آلوده میکنند.
هر دوی این کتابخانههای مخرب NPM از کار افتادهاند و دیگر قابل دسترسی نیستند.
حجم عظیمی از فعالیتهای مخرب
بعد از اینکه کتابخانههای مخرب NPM به پروژه اضافه و اجرا شدند، کتابخانه یک اسکریپت postinstall.js را اجرا میکند. این اسکریپت در حالت عادی برای اجرای دستورات مجاز بعد از نصب کتابخانه به کار میرود، اما در این مورد این اسکریپت با مجموعهای از فعالیتهای مخرب بر روی رایانه قربانی شروع به کار میکند.
فایلهایی که پس از زنجیرهای از عملیات مخرب دانلود میشوند، به ترتیب نصب آنها در زیر آورده شدهاند:
- exclude.bat: یک استثنا به مایکروسافت دیفندر اضافه میکند تا فایلهای موجود در آدرس \:C را بررسی نکند.
- Legion.exe: یک تروجان سرقت رمز عبور را مستقر میکند که تاریخچه مرورگر، کوکیها و رمزهای ذخیره شده را سرقت کرده و همچنین از طریق وب کم داخلی تصاویری را ضبط میکند.
- 000.exe: یک نوع trollware است که نام کاربری کنونی سیستم را به ‘UR NEXT’ تغییر میدهد، ویدئو به نمایش میگذارد، رمز عبور کاربر را تغییر میدهد و سعی میکند با قرار دادن پسورد بر روی سیستم از ورود کاربر جلوگیری کند.
- Tunamor.exe: یک باجافزار MBRLocker به نام “Monster” را نصب میکند که باجافزار GoldenEye را جعل میکند.
باجافزار MBRLocker
یکی از جالبترین فایلهای اجرایی «tunamor.exe» است که MBRLocker را نصب میکند که خود را «Monster Ransomware» مینامد.
زمانی که این پردازه اجرا شود، باجافزار به صورت اجباری رایانه را ری استارت کرده و یک CHKDSK تقلبی را بر روی سیستم نشان میدهد. در طول این روند، ظاهراً باجافزار دیسکهای رایانهای را رمزگذاری میکند.
زمانی که این روند به پایان رسید، باجافزار رایانه را ریبوت کرده و یک تصویر اسکلت را بر روی صفحه قفل شده نشان میدهد که در خانوادههای Petya/GoldenEye میتوان نمونه آنها را مشاهده کرد.
بعد از اینکه دکمه Enter زده شود، قربانی با صفحهای مواجه میشود که اعلام میکند هارد دیسک قفل شده است و باید به سایت http://monste3rxfp2f۷g3i.onion در مرورگر Tor مراجعه نماید تا باج خود را پرداخت کند. البته این سایت در حال حاضر غیرفعال است.
به نظر میرسد که کلیدواژه ” qVwaofRW5NbLa8gj” به عنوان کلید رمزگشایی مورد قبول این باجافزار است. البته، بعد از اینکه رمزگشایی از سوی باجافزار تأیید شد دیگر ویندوز بالا نخواهد آمد.
دقیقا مشخص نیست که آیا باید یک رشته اضافی به کلید این باجافزار برای رمزگشایی صحیح فایلها اضافه کرد یا اینکه این بدافزار تنها یک وایپر برای حذف اطلاعات میباشد.
به نظر میرسد این باج افزار به طور وسیع به کار گرفته نشده است و تنها از طریق بستههای NPM توزیع میشود. اما بهکارگیری NPMهای مخرب که در حملههای زنجیرهای به کار میروند، در حال تبدیل شدن به یک روش رایج میباشند.