Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Злые двойники NPM-пакета noblox.js атакуют фанатов Roblox (http://txgate.io:443/showthread.php?t=13560)

Artifact 05-14-2025 11:52 AM


Кто-то регулярно создает вредоносные копии пакета noblox.js и дает им названия, очень похожие на настоящее.
https://www.securitylab.ru/upload/ib...5bb4e0c869.jpg
С начала сентября нынешнего года Джош Муир (Josh Muir) вместе с пятью другими разработчиками пакета noblox.js всеми силами пытается не дать киберпреступникам распространять вымогательское ПО через вредоносные библиотеки с похожими названиями.
Noblox.js представляет собой обертку для Roblox API, позволяющую игрокам автоматизировать взаимодействия на популярной игровой платформе Roblox. Однако в последние месяцы кто-то регулярно создает вредоносные копии пакета и дает им названия, очень похожие на настоящее.
Злоумышленники используют так называемый тайпсквоттинг – придумывают названия, отличающиеся от оригинального на один-два символа, и надеются на невнимательность потенциальных жертв. Вредоносные пакеты загружаются в NPM (репозиторий JavaScript-библиотек с открытым исходным кодом), а затем зараженные ими файлы распространяются через Discord.
В прошлом месяце специалисты ИБ-компании Sontatype сообщили о вредоносных «двойниках» noblox.js. По их словам, об атаке на цепочку поставок в данном случае речь не идет, и вредоносные пакеты были созданы ради забавы. Однако Муир с этим не согласен.
«Я знаю, в Sonatype описали эту атаку как вероятную “шутку”, но уверяю вас, это не шутка, а устойчивая и продолжительная атака на нашу библиотеку и ее пользователей», - заявил Муир изданию The Register.
Разработчику известно о существовании шести вредоносных «двойниках» библиотеки noblox.js: noblox.js-rpc, noblox.js-proxy, noblox.js-beta, noblox.js-promise, noblox.js-promises и discord.buttons-js. В настоящее время они все уже удалены.
Старший исследователь безопасности Sonatype Акс Шарма (Ax Sharma) подтвердил The Register, что компания продолжает фиксировать все новые и новые вредоносные NPM-пакеты, в том числе с названиями, похожими на noblox.js. Последним загруженным пакетом был noblox.js-rpc, и его автором является тот же человек, который ранее загрузил в NPM «злые двойники» noblox.js, распространявшие вымогательское ПО. Этот же человек управляет сервером Discord для обмена информацией о зараженных репозиториях и получения выкупа от пострадавших.
Особенно Муира беспокоит тот факт, что большинство пользователей, загружающих эти вредоносные пакеты, - дети. Злоумышленники распространяют вредоносное ПО, регистрируясь на серверах Discord, где «сидят» совсем юные игроки (некоторым нет и 13 лет), и втираясь им в доверие.
По словам разработчика, у него есть причины верить, что как минимум один несовершеннолетний подвергся шантажу с помощью похищенных у него же файлов (администрация Discord была уведомлена об этом). И если NPM реагирует на сообщения о вредоносных библиотеках и удаляет их, Discord не проявляет большой ответственности. Как пояснил Муир, если злоумышленник удалил свое оригинальное сообщение, то с него и взятки гладки. Если он регулярно удаляет свои сообщения или использует альтернативные учетные записи, то Discord и не будет его ловить.


All times are GMT. The time now is 09:53 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.