注意！恶意NPM包正在安装勒索软件和密码窃取木马

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

这两个恶意包利用 typo-squatting 技术，更改了合法库“noblox.js-proxied”名称中的一个字母迷惑用户。研究人员指出，这两个恶意包通过 MBRLocker 勒索软件感染受害者，该勒索软件假冒臭名昭著的 GoldenEye 勒索软件、恶意软件和密码窃取木马。目前这两个恶意包已下架。

攻击者将这两个恶意 NPM 包添加到项目中并启动后，将执行postinstall.js 脚本。该脚本一般用于在安装库后执行合法命令，但在这种情况下它会在受害者计算机上启动恶意活动链。如下，postinstall.js 脚本被严重混淆，以阻止安全研究员和软件进行分析。

该脚本执行时，将启动被严重混淆的batch文件 “nobox.bat”，如下。

研究人员解码该batch 文件后发现该文件将绕过从 Discord 下载多种恶意软件并借助 fodhelper.exe UAC进行发布。

Noblox.bat batch 文件下载的文件（按安装顺序）及其说明如下所示。

尤其值得注意的是 “tunamor.exe” 可执行文件，它会安装一款 MBRLocker 并自称为 “魔鬼勒索软件 (Monster Ransomware)“。

魔鬼勒索软件执行时将强制计算机重启，并显示虚假的系统 CHKDSK。在这个进程中，该勒索软件声称已将计算机中的磁盘加密。之后，它将重启计算机并显示骷髅头的锁屏，而这种标志最先出现在 Petya/GoldenEye 勒索软件家族中。按下“Enter” 键，受害者就会看到屏幕上提示他们的硬盘已被加密，必须访问网站（http://monste3rxfp2f7g3i.onion/ Tor）支付赎金才能解密。

研究人员发现了字符串 qVwaofRW5NbLa8gj，它是有效的解密密钥。然而，当接受密钥且该勒索软件指出正在解密计算机后，Windows 却无法启动。

目前尚不清楚是否需要在该字符串之后添加新的字符串才能正确解密，或者该程序只是一个擦除器，目的是破坏系统。该勒索软件看似并未大规模传播，仅通过这些恶意NPM包进行分发。

从000.exe 恶意软件的活动和魔鬼勒索软件的奇怪行为来看，这些恶意包的目的可能是破坏系统而非生成勒索需求。

像此类恶意npm 被用于供应链攻击中的案例越来越常见。此前有研究人员发现三个 NPM 恶意库被用于在 Linux 和 Windows 设备上部署密币挖矿机。上周五，非常流行的 UA-Parser-JS NPM 库遭劫持，通过挖矿机和密码窃取木马感染用户。

IOCs