Злые двойники NPM-пакета noblox.js атакуют фанатов Roblox

С начала сентября нынешнего года Джош Муир (Josh Muir) вместе с пятью другими разработчиками пакета noblox.js всеми силами пытается не дать киберпреступникам распространять вымогательское ПО через вредоносные библиотеки с похожими названиями.

Noblox.js представляет собой обертку для Roblox API, позволяющую игрокам автоматизировать взаимодействия на популярной игровой платформе Roblox. Однако в последние месяцы кто-то регулярно создает вредоносные копии пакета и дает им названия, очень похожие на настоящее.

Злоумышленники используют так называемый тайпсквоттинг – придумывают названия, отличающиеся от оригинального на один-два символа, и надеются на невнимательность потенциальных жертв. Вредоносные пакеты загружаются в NPM (репозиторий JavaScript-библиотек с открытым исходным кодом), а затем зараженные ими файлы распространяются через Discord.

В прошлом месяце специалисты ИБ-компании Sontatype сообщили о вредоносных «двойниках» noblox.js. По их словам, об атаке на цепочку поставок в данном случае речь не идет, и вредоносные пакеты были созданы ради забавы. Однако Муир с этим не согласен.

«Я знаю, в Sonatype описали эту атаку как вероятную “шутку”, но уверяю вас, это не шутка, а устойчивая и продолжительная атака на нашу библиотеку и ее пользователей», - заявил Муир изданию The Register.

Разработчику известно о существовании шести вредоносных «двойниках» библиотеки noblox.js: noblox.js-rpc, noblox.js-proxy, noblox.js-beta, noblox.js-promise, noblox.js-promises и discord.buttons-js. В настоящее время они все уже удалены.

Старший исследователь безопасности Sonatype Акс Шарма (Ax Sharma) подтвердил The Register, что компания продолжает фиксировать все новые и новые вредоносные NPM-пакеты, в том числе с названиями, похожими на noblox.js. Последним загруженным пакетом был noblox.js-rpc, и его автором является тот же человек, который ранее загрузил в NPM «злые двойники» noblox.js, распространявшие вымогательское ПО. Этот же человек управляет сервером Discord для обмена информацией о зараженных репозиториях и получения выкупа от пострадавших.

Особенно Муира беспокоит тот факт, что большинство пользователей, загружающих эти вредоносные пакеты, - дети. Злоумышленники распространяют вредоносное ПО, регистрируясь на серверах Discord, где «сидят» совсем юные игроки (некоторым нет и 13 лет), и втираясь им в доверие.

По словам разработчика, у него есть причины верить, что как минимум один несовершеннолетний подвергся шантажу с помощью похищенных у него же файлов (администрация Discord была уведомлена об этом). И если NPM реагирует на сообщения о вредоносных библиотеках и удаляет их, Discord не проявляет большой ответственности. Как пояснил Муир, если злоумышленник удалил свое оригинальное сообщение, то с него и взятки гладки. Если он регулярно удаляет свои сообщения или использует альтернативные учетные записи, то Discord и не будет его ловить.