Thư viện NPM độc hại bị phát hiện cài đặt phần mềm đánh cắp mật khẩu và mã độc tống tiền

NPM Library

Tin tặc đã tung ra thêm hai thư viện typosquatted (kỹ thuật lừa đảo nhắm vào lỗi chính tả) giả mạo một gói dữ liệu của công ty game Roblox vào kho NPM chính thức với mục tiêu đánh cắp thông tin, cài đặt các trojan truy cập từ xa và lây nhiễm mã độc tống tiền.

Hai gói dữ liệu giả mạo, tên là “noblox.js proxy” và “noblox.js-proxies” được phát hiện giả mạo một thư viện tên là “nobox.js“- một trình bao bọc API (API Wrapper) của game Roblox có gần 20 nghìn lượt tải xuống mỗi tuần. Trong khi đó các thư viện giả mạo độc hại có lần lượt 281 và 106 lượt tải.

Theo chuyên gia Juan Aguirre của Sonatype – người phát hiện ra các gói NPM độc hại, tác giả của noblox.js-proxy ban đầu phát hành một phiên bản lành tính. Tuy nhiên phiên bản này sau đó đã bị giả mạo, cụ thể là một tập lệnh Batch (.bat) ở trong tệp tin JavaScript sau khi cài đặt.

Tập lệnh này sau đó tải xuống các tập tin mã độc thực thi từ Mạng lưới phân phối nội dung (CDN) của Discord. Các mã độc này chịu trách nhiệm vô hiệu hóa các công cụ chống mã độc, đeo bám vào máy tính của nạn nhân, đánh cắp thông tin và thậm chí còn triển khai các tệp nhị phân có chứa mã độc tống tiền.

Batch script

Các nghiên cứu gần đây của Check Point Research và công ty thuộc sở hữu của Microsoft RiskIQ cho thấy rằng các tin tặc đang ngày càng lạm dụng Discord CDN, một nền tảng với 150 triệu người dùng để liên tục thể phân tán 27 loại mã độc đa dạng, từ các mã độc backdoor, phần mềm gián điệp, trojan tới phần mềm đánh cắp mật khẩu.

Mặc dù cả hai thư viện NPM độc hại đều đã bị gỡ xuống và không còn khả dụng, các phát hiện này là một dấu hiệu khác cho thấy các nền tảng đăng ký code như NPM, PyPI và RubyGems đang trở thành một tiền tuyến thuận lợi để kẻ xấu thực hiện các cuộc tấn công đa dạng.

Phát hiện này cũng phản ánh một vụ tấn công chuỗi cung ứng gần đây nhắm vào “UAParsers,js”, một thư viện JavaScript NPM nổi tiếng với hơn 6 triệu lượt tải xuống mỗi tuần. Vụ tấn công dẫn đến việc tài khoản của nhà phát triển bị đánh cắp để làm hỏng gói dữ liệu bằng mã độc đánh cắp thông tin và đào tiền ảo, vụ tấn công này xảy ra chỉ vài ngày sau khi ba gói dữ liệu đào tiền ảo giả mạo khác bị gỡ xuống.

Theo Thehackernews