Phát hiện thư viện NPM cài đặt mã độc tống tiền và hack mật khẩu

www.tuoitre.vn -   12/11/2021 12:00:00 149

Tin tặc đã tung ra thêm hai thư viện typosquatted (kỹ thuật lừa đảo nhắm vào lỗi chính tả) giả mạo một gói dữ liệu của công ty game Roblox vào kho NPM chính thức với mục tiêu đánh cắp thông tin, cài đặt các trojan truy cập từ xa và lây nhiễm mã độc tống tiền.

Phát hiện thư viện NPM cài đặt mã độc tống tiền và hack mật khẩu

Hai gói dữ liệu giả mạo, tên là “noblox.js proxy” và “noblox.js-proxies” được phát hiện giả mạo một thư viện tên là “nobox.js“- một trình bao bọc API (API Wrapper) của game Roblox có gần 20 nghìn lượt tải xuống mỗi tuần. Trong khi đó các thư viện giả mạo độc hại có lần lượt 281 và 106 lượt tải.

Theo chuyên gia Juan Aguirre của Sonatype – người phát hiện ra các gói NPM độc hại, tác giả của noblox.js-proxy ban đầu phát hành một phiên bản lành tính. Tuy nhiên phiên bản này sau đó đã bị giả mạo, cụ thể là một tập lệnh Batch (.bat) ở trong tệp tin JavaScript sau khi cài đặt.

Tập lệnh này sau đó tải xuống các tập tin mã độc thực thi từ Mạng lưới phân phối nội dung (CDN) của Discord. Các mã độc này chịu trách nhiệm vô hiệu hóa các công cụ chống mã độc, đeo bám vào máy tính của nạn nhân, đánh cắp thông tin và thậm chí còn triển khai các tệp nhị phân có chứa mã độc tống tiền.

Phát hiện thư viện NPM cài đặt mã độc tống tiền và hack mật khẩu

Các nghiên cứu gần đây của Check Point Research và công ty thuộc sở hữu của Microsoft RiskIQ cho thấy rằng các tin tặc đang ngày càng lạm dụng Discord CDN, một nền tảng với 150 triệu người dùng để liên tục thể phân tán 27 loại mã độc đa dạng, từ các mã độc backdoor, phần mềm gián điệp, trojan tới phần mềm đánh cắp mật khẩu.

Mặc dù cả hai thư viện NPM độc hại đều đã bị gỡ xuống và không còn khả dụng, các phát hiện này là một dấu hiệu khác cho thấy các nền tảng đăng ký code như NPM, PyPI và RubyGems đang trở thành một tiền tuyến thuận lợi để kẻ xấu thực hiện các cuộc tấn công đa dạng.

Phát hiện này cũng phản ánh một vụ tấn công chuỗi cung ứng gần đây nhắm vào “UAParsers,js”, một thư viện JavaScript NPM nổi tiếng với hơn 6 triệu lượt tải xuống mỗi tuần. Vụ tấn công dẫn đến việc tài khoản của nhà phát triển bị đánh cắp để làm hỏng gói dữ liệu bằng mã độc đánh cắp thông tin và đào tiền ảo, vụ tấn công này xảy ra chỉ vài ngày sau khi ba gói dữ liệu đào tiền ảo giả mạo khác bị gỡ xuống.

Theo Thehackernews

TIN CÙNG CHUYÊN MỤC

Hacker lừa người dùng tải Windows 11 giả...

19/05/2022 08:00:00 14
Các miền gian lận giả danh cổng tải xuống Windows 11 của Microsoft đang cố gắng lừa người dùng triển...

Hơn 200 ứng dụng trên Cửa hàng Google Pl...

17/05/2022 08:00:00 11
Hơn 200 ứng dụng Android giả mạo là ứng dụng thể dục, chỉnh sửa ảnh và giải đố đã được phát hiện lây...

Các nhà nghiên cứu khám phá cách hacker ...

16/05/2022 08:00:00 16
Một phân tích bảo mật đầu tiên về chức năng iOS Find My đã xác định được một cách tấn công mới khiến...

Android và Chrome sẽ sớm tạo thẻ ứng dụn...

14/05/2022 08:00:00 16
Google đã tham dự hội nghị nhà phát triển hàng năm của mình để công bố một loạt các cập nhật về quyề...

Hàng nghìn trang web WordPress bị hack c...

13/05/2022 08:00:00 14
Các nhà nghiên cứu an ninh mạng đã tiết lộ một chiến dịch lớn chịu trách nhiệm đưa mã JavaScript độc...

Châu Âu đề xuất quy tắc mới cho các công...

12/05/2022 08:00:00 12
Ủy ban châu Âu hôm thứ Tư đề xuất quy định mới yêu cầu các công ty công nghệ quét tài liệu lạm dụng ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ