19.11.2021 | Злые двойники NPM-пакета noblox.js атакуют фанатов Roblox |
С начала сентября нынешнего года Джош Муир (Josh Muir) вместе с пятью другими разработчиками пакета noblox.js всеми силами пытается не дать киберпреступникам распространять вымогательское ПО через вредоносные библиотеки с похожими названиями. Noblox.js представляет собой обертку для Roblox API, позволяющую игрокам автоматизировать взаимодействия на популярной игровой платформе Roblox. Однако в последние месяцы кто-то регулярно создает вредоносные копии пакета и дает им названия, очень похожие на настоящее. Злоумышленники используют так называемый тайпсквоттинг – придумывают названия, отличающиеся от оригинального на один-два символа, и надеются на невнимательность потенциальных жертв. Вредоносные пакеты загружаются в NPM (репозиторий JavaScript-библиотек с открытым исходным кодом), а затем зараженные ими файлы распространяются через Discord. В прошлом месяце специалисты ИБ-компании Sontatype сообщили о вредоносных «двойниках» noblox.js. По их словам, об атаке на цепочку поставок в данном случае речь не идет, и вредоносные пакеты были созданы ради забавы. Однако Муир с этим не согласен. «Я знаю, в Sonatype описали эту атаку как вероятную “шутку”, но уверяю вас, это не шутка, а устойчивая и продолжительная атака на нашу библиотеку и ее пользователей», - заявил Муир изданию The Register. Разработчику известно о существовании шести вредоносных «двойниках» библиотеки noblox.js: noblox.js-rpc, noblox.js-proxy, noblox.js-beta, noblox.js-promise, noblox.js-promises и discord.buttons-js. В настоящее время они все уже удалены. Старший исследователь безопасности Sonatype Акс Шарма (Ax Sharma) подтвердил The Register, что компания продолжает фиксировать все новые и новые вредоносные NPM-пакеты, в том числе с названиями, похожими на noblox.js. Последним загруженным пакетом был noblox.js-rpc, и его автором является тот же человек, который ранее загрузил в NPM «злые двойники» noblox.js, распространявшие вымогательское ПО. Этот же человек управляет сервером Discord для обмена информацией о зараженных репозиториях и получения выкупа от пострадавших. Особенно Муира беспокоит тот факт, что большинство пользователей, загружающих эти вредоносные пакеты, - дети. Злоумышленники распространяют вредоносное ПО, регистрируясь на серверах Discord, где «сидят» совсем юные игроки (некоторым нет и 13 лет), и втираясь им в доверие. По словам разработчика, у него есть причины верить, что как минимум один несовершеннолетний подвергся шантажу с помощью похищенных у него же файлов (администрация Discord была уведомлена об этом). И если NPM реагирует на сообщения о вредоносных библиотеках и удаляет их, Discord не проявляет большой ответственности. Как пояснил Муир, если злоумышленник удалил свое оригинальное сообщение, то с него и взятки гладки. Если он регулярно удаляет свои сообщения или использует альтернативные учетные записи, то Discord и не будет его ловить. |
Проверить безопасность сайта