Phát hiện thư viện NPM cài đặt mã độc tống tiền và hack mật khẩu

www.tuoitre.vn -   12/11/2021 12:00:00 835

Tin tặc đã tung ra thêm hai thư viện typosquatted (kỹ thuật lừa đảo nhắm vào lỗi chính tả) giả mạo một gói dữ liệu của công ty game Roblox vào kho NPM chính thức với mục tiêu đánh cắp thông tin, cài đặt các trojan truy cập từ xa và lây nhiễm mã độc tống tiền.

Phát hiện thư viện NPM cài đặt mã độc tống tiền và hack mật khẩu

Hai gói dữ liệu giả mạo, tên là “noblox.js proxy” và “noblox.js-proxies” được phát hiện giả mạo một thư viện tên là “nobox.js“- một trình bao bọc API (API Wrapper) của game Roblox có gần 20 nghìn lượt tải xuống mỗi tuần. Trong khi đó các thư viện giả mạo độc hại có lần lượt 281 và 106 lượt tải.

Theo chuyên gia Juan Aguirre của Sonatype – người phát hiện ra các gói NPM độc hại, tác giả của noblox.js-proxy ban đầu phát hành một phiên bản lành tính. Tuy nhiên phiên bản này sau đó đã bị giả mạo, cụ thể là một tập lệnh Batch (.bat) ở trong tệp tin JavaScript sau khi cài đặt.

Tập lệnh này sau đó tải xuống các tập tin mã độc thực thi từ Mạng lưới phân phối nội dung (CDN) của Discord. Các mã độc này chịu trách nhiệm vô hiệu hóa các công cụ chống mã độc, đeo bám vào máy tính của nạn nhân, đánh cắp thông tin và thậm chí còn triển khai các tệp nhị phân có chứa mã độc tống tiền.

Phát hiện thư viện NPM cài đặt mã độc tống tiền và hack mật khẩu

Các nghiên cứu gần đây của Check Point Research và công ty thuộc sở hữu của Microsoft RiskIQ cho thấy rằng các tin tặc đang ngày càng lạm dụng Discord CDN, một nền tảng với 150 triệu người dùng để liên tục thể phân tán 27 loại mã độc đa dạng, từ các mã độc backdoor, phần mềm gián điệp, trojan tới phần mềm đánh cắp mật khẩu.

Mặc dù cả hai thư viện NPM độc hại đều đã bị gỡ xuống và không còn khả dụng, các phát hiện này là một dấu hiệu khác cho thấy các nền tảng đăng ký code như NPM, PyPI và RubyGems đang trở thành một tiền tuyến thuận lợi để kẻ xấu thực hiện các cuộc tấn công đa dạng.

Phát hiện này cũng phản ánh một vụ tấn công chuỗi cung ứng gần đây nhắm vào “UAParsers,js”, một thư viện JavaScript NPM nổi tiếng với hơn 6 triệu lượt tải xuống mỗi tuần. Vụ tấn công dẫn đến việc tài khoản của nhà phát triển bị đánh cắp để làm hỏng gói dữ liệu bằng mã độc đánh cắp thông tin và đào tiền ảo, vụ tấn công này xảy ra chỉ vài ngày sau khi ba gói dữ liệu đào tiền ảo giả mạo khác bị gỡ xuống.

Theo Thehackernews

TIN CÙNG CHUYÊN MỤC

Cổng bảo mật 2 bước MFA vẫn có thể bị tấ...

13/02/2024 07:00:00 203
Trong bài viết trước, Kaspersky Proguide đã đề cập 2 chiêu thức tinh vi mà tin tặc sử dụng. Hôm nay,...

4 chiêu thức tin tặc sử dụng kỹ thuật xã...

12/02/2024 08:00:00 318
Trong bài viết này, hãy cùng Kaspersky Proguide khám phá 4 chiêu thức ứng dụng kỹ thuật xã hội mà ti...

Phần mềm độc hại Android MoqHao mới bị p...

08/02/2024 08:00:00 298
Các chuyên gia bảo mật vừa phát hiện được một biến thể mới của phần mềm độc hại Android có tên MoqHa...

73 lỗ hổng bảo mật Windows được Microsof...

08/02/2024 08:00:00 268
Microsoft đã phát hành các bản vá bảo mật để giải quyết 73 lỗi bảo mật trên dòng phần mềm của mình n...

Google bắt đầu chặn tải các ứng dụng And...

07/02/2024 08:00:00 309
Google công bố chương trình thí điểm mới tại Singapore nhằm ngăn chặn người dùng tải một số ứng dụng...

Cẩn trọng tìm việc làm qua Facebook bị đ...

06/02/2024 08:00:00 237
Những kẻ tấn công an ninh mạng đang tận dụng các quảng cáo việc làm không có thật trên Facebook để d...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ