La cyber-sécurité les chercheurs ont à nouveau trouvé (et éradiqué) les packages npm malveillants, livrant cette fois ransomware et des chevaux de Troie voleurs de mots de passe sur des utilisateurs sans méfiance.
Se faire passer pour Roblox JavaScript bibliothèques, les deux packages npm malveillants ont été nommés noblox.js-proxy et noblox.js-proxies, et utilisent le typo-squatting pour se présenter à tous ceux qui recherchent le wrapper d’API Roblox légitime appelé noblox.js-proxied, en modifiant une seule lettre au nom de la bibliothèque.
« Ces packages de typosquattage imitent noblox.js, un wrapper d’API de jeu Roblox populaire qui existe sur npm en tant que package autonome, ainsi que des variantes légitimes telles que noblox.js-proxied (se terminant par ‘d’ pas ‘s’) », partage Le chercheur en sécurité de Sonatype, Juan Aguirre.
Noblox.js est un Open source API JavaScript pour le jeu populaire Roblox. Selon Aguirre, la bibliothèque, qui a enregistré plus de 700 000 téléchargements, est couramment utilisée pour créer des scripts dans le jeu qui interagissent avec le site Web de Roblox.
Sommaire
Une farce sinistre ?
L’analyse des bibliothèques malveillantes a révélé que leurs auteurs les avaient bourrées de malware, le ransomware MBRLocker qui se fait passer pour le célèbre ransomware GoldenEye, un cheval de Troie voleur de mots de passe, ainsi qu’une vidéo effrayante.
Aguirre souligne que les deux bibliothèques de typosquattage n’ont pas pu faire de réels dégâts puisqu’elles ont été capturées peu de temps après leur téléchargement, bien qu’elles aient quand même réussi à enregistrer respectivement 281 et 106 téléchargements.
« … mais il est clair à quel type d’échelle les acteurs de la menace espéraient s’attaquer à un composant aussi populaire », note Aguirre.
Fait intéressant, cette tentative de fournir un ransomware survient quelques jours seulement après que les chercheurs de Sonatype aient découvert une tentative audacieuse d’acteurs malveillants de détourner le compte du développeur du logiciel largement utilisé. Bibliothèque UAParser.js pour remplacer le code légitime par un code malveillant infusé de logiciels malveillants et de chevaux de Troie.
Alors que Sonatype pense que les fausses bibliothèques roblox ont probablement été plantées comme une farce, l’incident est une indication supplémentaire que les adversaires ne vont pas cesser d’abuser des référentiels open source populaires de si tôt.
