Thư viện NPM độc hại bị phát hiện cài đặt phần mềm đánh cắp mật khẩu và mã độc tống tiền
Tin tặc đã tung ra thêm hai thư viện typosquatted (kỹ thuật lừa đảo nhắm vào lỗi chính tả) giả mạo một gói dữ liệu của công ty game Roblox vào kho NPM chính thức với mục tiêu đánh cắp thông tin, cài đặt các trojan truy cập từ xa và lây nhiễm mã độc tống tiền .
Hai gói dữ liệu giả mạo, tên là “ noblox.js proxy ” và “ noblox.js-proxies ” được phát hiện giả mạo một thư viện tên là “ nobox.js “- một trình bao bọc API (API Wrapper) của game Roblox có gần 20 nghìn lượt tải xuống mỗi tuần. Trong khi đó các thư viện giả mạo độc hại có lần lượt 281 và 106 lượt tải.
Theo chuyên gia Juan Aguirre của Sonatype – người phát hiện ra các gói NPM độc hại, tác giả của noblox.js-proxy ban đầu phát hành một phiên bản lành tính. Tuy nhiên phiên bản này sau đó đã bị giả mạo, cụ thể là một tập lệnh Batch (.bat) ở trong tệp tin JavaScript sau khi cài đặt.
Tập lệnh này sau đó tải xuống các tập tin mã độc thực thi từ Mạng lưới phân phối nội dung (CDN) của Discord. Các mã độc này chịu trách nhiệm vô hiệu hóa các công cụ chống mã độc, đeo bám vào máy tính của nạn nhân, đánh cắp thông tin và thậm chí còn triển khai các tệp nhị phân có chứa mã độc tống tiền.
Các nghiên cứu gần đây của Check Point Research và công ty thuộc sở hữu của Microsoft RiskIQ cho thấy rằng các tin tặc đang ngày càng lạm dụng Discord CDN, một nền tảng với 150 triệu người dùng để liên tục thể phân tán 27 loại mã độc đa dạng, từ các mã độc backdoor, phần mềm gián điệp, trojan tới phần mềm đánh cắp mật khẩu.
Mặc dù cả hai thư viện NPM độc hại đều đã bị gỡ xuống và không còn khả dụng, các phát hiện này là một dấu hiệu khác cho thấy các nền tảng đăng ký code như NPM, PyPI và RubyGems đang trở thành một tiền tuyến thuận lợi để kẻ xấu thực hiện các cuộc tấn công đa dạng.
Phát hiện này cũng phản ánh một vụ tấn công chuỗi cung ứng gần đây nhắm vào “UAParsers,js”, một thư viện JavaScript NPM nổi tiếng với hơn 6 triệu lượt tải xuống mỗi tuần. Vụ tấn công dẫn đến việc tài khoản của nhà phát triển bị đánh cắp để làm hỏng gói dữ liệu bằng mã độc đánh cắp thông tin và đào tiền ảo, vụ tấn công này xảy ra chỉ vài ngày sau khi ba gói dữ liệu đào tiền ảo giả mạo khác bị gỡ xuống.
Theo Thehackernews
The post Thư viện NPM độc hại bị phát hiện cài đặt phần mềm đánh cắp mật khẩu và mã độc tống tiền appeared first on SecurityDaily .
Related News
Top News
-
![]()
Hackers Target Middle East Governments with Evasive "CR4T" BackdoorGovernment entities in the Middle East have been targeted as part of a previously undocumented campaign to deliver a new backdoor dubbed CR4T....
-
![]()
Phá đường dây dịch vụ lừa đảo trực tuyến, bắt giữ 37 nghi phạmNền tảng cung cấp dịch vụ lừa đảo (PhaaS) LabHost vừa bị triệt phá trong chiến dịch kéo dài 1 năm của các nhà hành pháp toàn cầu, 37 nghi phạm...
-
![]()
Alert! Windows LPE Zero-day Exploit Advertised on Hacker ForumsA new zero-day Local Privilege Escalation (LPE) exploit has been put up for sale on a notorious hacker forum. This exploit, which has not...
-
![]()
16 lỗ hổng bảo mật mới có thể khiến hệ thống dùng phần mềm Microsoft bị tấn côngNgoài cảnh báo về lỗ hổng bảo mật trên PAN-OS bị sử dụng để tấn công các hệ thống, trong tháng 4, Cục An toàn thông tin (Bộ TT&TT) còn...
-
![]()
Telegram vá lỗ hổng cho phép chạy mã độc trên WindowsTelegram vừa vá một lỗ hổng zero-day nghiêm trọng trong ứng dụng dành cho Windows. Lỗ hổng này cho phép tin tặc vượt qua cảnh báo bảo mật và...