注意!恶意NPM包正在安装勒索软件和密码窃取木马

最新推荐文章于 2024-07-12 11:34:26 发布
最新推荐文章于 2024-07-12 11:34:26 发布
阅读量1k 收藏
点赞数
文章标签: linux 信息安全 windows 安全 centos
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247508807&idx=2&sn=d3c45691613b2360e8b94171fade416d&chksm=ea94922ddde31b3bddbc49c62a554c04449fe1e5bec1095dda306bd48242208456eea8aba972&scene=126&&sessionid=0
版权

28adcc3565b76c8c44ea92ea3f8d8bd9.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

99b93f523ccdc8970bd6cb71d18d789f.png

df1039ebd0a23a4361fc1f430d7312fa.png

两个伪装成 Roblox 库的恶意NPM包正在用户机器上传播勒索软件和密码窃取木马。这两个包是 “noblox.js-proxy” 和 “noblox.js-proxies”。

这两个恶意包利用 typo-squatting 技术,更改了合法库“noblox.js-proxied”名称中的一个字母迷惑用户。研究人员指出,这两个恶意包通过 MBRLocker 勒索软件感染受害者,该勒索软件假冒臭名昭著的 GoldenEye 勒索软件、恶意软件和密码窃取木马。目前这两个恶意包已下架。

36f4be90c838604612acdffc32966b7d.gif

一系列恶意活动

攻击者将这两个恶意 NPM 包添加到项目中并启动后,将执行postinstall.js 脚本。该脚本一般用于在安装库后执行合法命令,但在这种情况下它会在受害者计算机上启动恶意活动链。如下,postinstall.js 脚本被严重混淆,以阻止安全研究员和软件进行分析。

26546e3355eb936b1f91955e6dc09fce.png

该脚本执行时,将启动被严重混淆的batch文件 “nobox.bat”,如下。

e0e08f4bb327d84138764a0e59de58d5.png

研究人员解码该batch 文件后发现该文件将绕过从 Discord 下载多种恶意软件并借助 fodhelper.exe UAC进行发布。

Noblox.bat batch 文件下载的文件(按安装顺序)及其说明如下所示。

  • Exclude.bat:添加不扫描 C:\drive 下文件的 Microsoft Defender 排除

  • Legion.exe:部署密码窃取木马,窃取浏览器历史、cookie、保存的密码并试图通过内置网络摄像头记录视频。

  • 000.exe:恶意软件,将当前用户的名称修改为 “UR NEXT”、播放视频、更改用户密码并试图使用户无法登录系统。

  • Tunamor.exe:安装MBRLocker “魔鬼勒索软件 (Monster Ransomware)”,假冒 GoldenEye 勒索软件。

5f6fb37492b59533ccd18695c597735b.gif

“魔鬼“勒索软件 MBRLocker

尤其值得注意的是 “tunamor.exe” 可执行文件,它会安装一款 MBRLocker 并自称为 “魔鬼勒索软件 (Monster Ransomware)“。

魔鬼勒索软件执行时将强制计算机重启,并显示虚假的系统 CHKDSK。在这个进程中,该勒索软件声称已将计算机中的磁盘加密。之后,它将重启计算机并显示骷髅头的锁屏,而这种标志最先出现在 Petya/GoldenEye 勒索软件家族中。按下“Enter” 键,受害者就会看到屏幕上提示他们的硬盘已被加密,必须访问网站(http://monste3rxfp2f7g3i.onion/ Tor)支付赎金才能解密。

研究人员发现了字符串 qVwaofRW5NbLa8gj,它是有效的解密密钥。然而,当接受密钥且该勒索软件指出正在解密计算机后,Windows 却无法启动。

目前尚不清楚是否需要在该字符串之后添加新的字符串才能正确解密,或者该程序只是一个擦除器,目的是破坏系统。该勒索软件看似并未大规模传播,仅通过这些恶意NPM包进行分发。

从000.exe 恶意软件的活动和魔鬼勒索软件的奇怪行为来看,这些恶意包的目的可能是破坏系统而非生成勒索需求。

像此类恶意npm 被用于供应链攻击中的案例越来越常见。此前有研究人员发现三个 NPM 恶意库被用于在 Linux 和 Windows 设备上部署密币挖矿机。上周五,非常流行的 UA-Parser-JS NPM 库遭劫持,通过挖矿机和密码窃取木马感染用户。

IOCs

Exclude.bat0419582ea749cef904856dd1165cbefe041f822dd3ac9a6a1e925afba30fe591

Legion.exea81b7477c70f728a0c3ca14d0cdfd608a0101cf599d31619163cb0be2a152b78

Password stealer

f4fb42c8312a6002a8783e2a1ab4571eb89e92cd192b1a21e8c4582205c37312

000.exe

4a900b344ef765a66f98cf39ac06273d565ca0f5d19f7ea4ca183786155d4a47

tunamor.exe (ransomware)78972cdde1a038f249b481ea2c4b172cc258aa294440333e9c46dcb3fbed5815

推荐阅读

GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞

流行的 NPM 包依赖关系中存在远程代码执行缺陷

如何避免 npm 替换攻击?

Node.js 沙箱易受原型污染攻击

Node.js 易受两个HTTP请求走私漏洞影响

原文链接

https://www.bleepingcomputer.com/news/security/malicious-npm-libraries-install-ransomware-password-stealer/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

5d8bcb210cf269da9f7c501e6e02da35.png

3a2d6f3165be733f8bcf3910a3553952.png

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   84c15e7248419655b2def77b996edd96.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
案例分析:NPM恶意利用环境变量差异绕过检测
OSCS开源安全社区
07-15 345
目前branch-node-core和epic-ue-loading的下载数量分别为532、318,OSCS推测有用户可能已经安装恶意组件。通过分析branch-node-core我们可以发现其使用的多种绕过检测方式,类似这样的情况可能还有很多,对抗也会持续。对企业安全团队来说,需要持续提升风险检测防范能力;对于开发者而言,在引入项目依赖时需要注意甄别。...
NPM中混入了恶意后门的
cpongo5
05-09 175
\看新闻很累?看技术新闻更累?试试下载InfoQ手机客户端,每天上下班路上听新闻,有趣还有料!\\\NPM团队移除了一个伪装成Cookie解析器的。这个含一个恶意后门。还有三个依赖它的也同时被移除了。这个后门让攻击者可以向运行中的服务器注入任意代码并执行。\\NPM报告确认,getcookies恶意代码,它会分析HTTP头,查找类似gCOMMANDhDATAi这样的数据格式。恶意...
软件供应链危机扎顿爆发。60 个恶意软件“入侵”NuGet 供应链;GitLab 关键漏洞曝光;npm、GitHub 和 jsDelivr 惊现被木马化的 jQuery | 安全周报0712
最新发布
weixin_55163056的博客
07-12 1651
60 个恶意软件“入侵”NuGet 供应链,你的软件安全吗?GitLab 关键漏洞曝光!攻击者竟能这样执行管道作业?PHP 漏洞被利用,恶意软件、DDoS 攻击泛滥成灾!RADIUS 协议漏洞让网络陷入中间人攻击危机!npm、GitHub 和 jsDelivr 惊现被木马化的 jQuery ,你的网站危险了!
恶意npm收集用户IP等信息并在GitHub传播
小詹学python的博客
10-09 213
Sonatype 研究人员发现并确认了两个新的易受攻击的 npm 软件。据研究人员介绍,这两个软件最初由他们的恶意代码自动检测系统(malicious code detection...
周下载量过200万的npm被注入恶意代码,Vue、Node项目恐受影响
weixin_33800463的博客
11-27 523
今天上午,小编在Twitter上刷出了这条推文,再翻看国内一些论坛,开发者已经有所讨论,小编在这里给大家整理一下。这篇推文及其附带的GitHub链接大体是说上周npm下载量超过200万的package被注入了恶意代码,黑客利用该恶意代码访问热门JavaScript库,目标是copay(开源比特币钱)及其衍生产品的用户,以此窃取用户的数字货币。这个被注入恶意代码的package名为event-st...
恶意NPM窃取Discord 令牌和信用卡信息等
smellycat000的专栏
08-01 219
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的...
详解离线安装npm的几种方法
10-17
离线安装npm是开发和部署Node.js应用时在没有网络连接或网络受限环境中非常重要的技术。本文将详细介绍两种常见的离线安装npm的方法:使用`npm link`和使用`npm install <folder>`。 首先,我们来看使用`npm ...
Node.js安装教程和NPM管理器使用详解
10-25
主要介绍了Node.js安装教程和NPM管理器使用详解,安装部分讲解了Windows、和MAC OS下的安装图解,并介绍了Linux下的源码安装方法,最后对NPM管理器做了详细介绍,需要的朋友可以参考下
vue中npm全局安装和局部安装过程
10-16
主要介绍了npm全局安装和局部安装,需要的朋友可以参考下
npmnpm 全局安装 和 局部(本地)安装
01-07
本地安装npm命令默认情况下会将安装到当前目录下,避免了不同程序依赖不同版本的冲突;减少了开发者API的兼容性的问题;缺点是会出现一个安装多次的情况。 全局安装:提高程序重复利用,避免一个程序多个...
供应链投毒预警 | 恶意NPM利用Windows反向shell后门攻击开发者
OpenSCACommunity的博客
02-29 579
此外,开发者也可使用OpenSCA-cli,将受影响的组件按如下示例保存为db.json文件(可参考总结中提到的组件信息按格式增减),直接执行扫描命令(opensca-cli -db db.json -path ${project_path}),即可快速获知您的项目是否受到投毒影响。开发者一旦错误安装这些恶意组件,则会自动触发执行恶意组件中的攻击代码,受害者系统将主动通过反向shell(Reverse Shell)的方式和攻击者控制的服务器端口建立后门连接,最终导致开发者系统被攻击者远程控制。
node.js使用npm 安装插件时提示install Error: ENOENT报错的解决方法
10-25
主要介绍了node.js使用npm 安装插件时提示install Error: ENOENT报错的解决方法,需要的朋友可以参考下
postinstall-build:用于在安装后有条件构建npm软件的帮助程序
02-03
安装后 :warning_selector: 注意! 从npm 5.0.0(2017-05-25)开始,此功能已内置在npm中! 从git安装时,新的prepare lifecycle脚本将构建您的软件。 如果可能,我建议从postinstall-build迁移到正式支持的prepare 。 效果更好! 有条件地构建postinstall挂钩,而无需将devDependencies移至dependencies 。 npm install postinstall-build --save 内容 它有什么作用? 检查您的构建工件是否存在。 如果没有,请临时安装devDependencies并进行构建。 清理掉剩下
200多个恶意NPM程序针对Azure 开发人员,发动供应链攻击
smellycat000的专栏
03-24 626
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的...
超千万下载量的NPM遭黑客攻击,美国监管机构紧急警告
m0_59537084的博客
10-26 5403
一个非常流行的 JavaScript 库(npm )今天遭到黑客攻击,并被恶意代码修改,在使用受感染版本的系统上,这些代码会自动下载并安装密码窃取程序和加密货币挖掘程序。 该事件于 10 月 22 日星期五被发现。在 GitHub 上,众多网友表示,使用 每周下载数百万次的NPM遭黑客劫持,美国监管机构紧急警告 网络攻击 互联网安全内参 2021-10-25 又见大规模开源软件供应链劫持,攻击者下发了挖矿和窃密木马,或影响超百万用户和大量下游项目。 10月22日,每周下载超数百万次的流行NPMUA-P
200 多个 npm 被攻击,Azure 开发者请注意
CSDN资讯
03-25 4079
所幸,整套恶意软件很快被 npm 维护者发现,所以这些软件被迅速删除了。
事关所有前端 -NPM投毒事件再现
petertanjinjie的博客
01-06 3215
故事的起因YIFENG WANG 在推上吐槽,有人想把恶意代码合并进去。名是chalk-next,会收集项目信息并且删除本地文件而chalk-next作者,也是 vue-admin-beautiful 前端 Admin 项目的作者在网上也出现了有人吐槽实名抵制 vue-admin-beautiful截图可能不清晰,这里补充下:开一个新的项目,不想把前端的时间都浪费在写页面上,于是谷歌了一圈,发现...
运行npm installpostinstall: sill install executeActions,卡住不动
fdyputi的博客
04-25 3836
npm install一直停留在postinstall: sill install executeActions卡住不动,可以使用如下命令设置为淘宝的镜像源: npm config set registry https://registry.npm.taobao.org 使用如下命令检验是否成功:npm config get registry 删除user文件夹下的.npmrc文件 执行npm install
npm install报错:npm ERR! [email protected] postinstall的解决方法
wuxiaopengnihao1的博客
08-09 355
今天执行npm ERR!
Vue、npm、cnpm和yarn插件安装与管理指南
总结来说,这篇文档为Vue开发者提供了关于如何高效管理和安装npm、cnpm以及yarn插件的关键指令,确保了在开发过程中能够快速获取依赖、优化下载速度,并且方便地管理项目依赖。无论是新手还是经验丰富的开发者,掌握...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值