idNSA.id - Malicious jahat sekali lagi menerbitkan dua libraries yang salah ketik ke repositori NPM resmi yang meniru paket sah dari Roblox, perusahaan game, dengan tujuan mendistribusikan kredensial pencurian, menginstal trojan akses jarak jauh, dan menginfeksi sistem yang disusupi dengan ransomware.a
Paket palsu — bernama " noblox.js-proxy " dan " noblox.js-proxies " — ditemukan meniru libraries yang disebut " noblox.js ," pembungkus API game Roblox yang tersedia di NPM dan menawarkan hampir 20.000 unduhan mingguan, dengan masing-masing libraries yang telah terinfeksi, masing-masing diunduh sebanyak 281 dan 106 kali.
Menurut peneliti Sonatype Juan Aguirre, yang menemukan paket NPM berbahaya, penulis noblox.js-proxy pertama kali menerbitkan versi mudah yang kemudian diubah dengan teks yang dikaburkan, pada kenyataannya, skrip Batch (.bat), di pos -instalasi file JavaScript.
Skrip Batch ini, pada gilirannya, mengunduh executable berbahaya dari Jaringan Pengiriman Konten (CDN) Discord yang bertanggung jawab untuk menonaktifkan mesin anti-malware, mencapai kegigihan pada host, menyedot kredensial browser, dan bahkan menyebarkan binari dengan kemampuan ransomware.
Meskipun kedua libraries NPM berbahaya telah dihapus dan tidak lagi tersedia, temuan ini merupakan indikasi lain tentang bagaimana pendaftar kode populer seperti NPM, PyPI, dan RubyGems telah muncul sebagai perbatasan yang menguntungkan untuk melakukan berbagai serangan.
Pengungkapan ini juga mencerminkan serangan berantai, baru-baru ini yang ditujukan ke " UAParser.js ," libraries JavaScript NPM dengan lebih dari 6 juta unduhan mingguan, yang mengakibatkan akun pengembang dibajak untuk merusak paket dengan penambangan cryptocurrency dan malware pencuri kredensial , beberapa hari setelah tiga paket penambangan kripto peniru lainnya dihapus dari registry.
