那些Robloxnpm下載可能感染了惡意軟件

網絡安全研究人員再次發現(并根除)惡意npm包，這一次向毫無戒心的用戶提供勒索軟件和密碼竊取木馬。假裝是RobloxJavaScript庫，這兩個惡意npm包被命名為noblox.js-proxy和noblox.js-proxies，并使用錯字搶注向任何尋找名為noblox.js-proxied的合法RobloxAPI包裝器的人展示自己，通過更改圖書館名稱中的單個字母。

“這些域名搶注包模仿了noblox.js，這是一個流行的Roblox游戲API包裝器，它作為一個獨立的包存在于npm上，以及合法的變體，例如noblox.js-proxied(以'd'而不是's'結尾)，”分享道Sonatype的安全研究員JuanAguirre。

我們正在研究我們的讀者如何將VPN與Netflix等流媒體網站結合使用，以便我們改進內容并提供更好的建議。此調查不會占用您超過60秒的時間，如果您能與我們分享您的經驗，我們將不勝感激。

Noblox.js是流行游戲Roblox的開源JavaScriptAPI。根據Aguirre的說法，該庫的下載量已超過700,000，通常用于創建與Roblox網站交互的游戲內腳本。

對惡意庫的分析表明，它們的作者向它們填充了惡意軟件、模仿臭名昭著的GoldenEye勒索軟件的MBRLocker勒索軟件、密碼竊取木馬以及一段恐怖視頻。

Aguirre指出，這兩個域名搶注庫并沒有造成任何真正的損害，因為它們在上傳后不久就被發現了，盡管它們仍然分別達到了281和106次下載。

“……但很明顯，威脅行為者希望針對如此受歡迎的組件進行何種規模的攻擊，”Aguirre指出。

有趣的是，就在幾天前，Sonatype研究人員發現威脅行為者企圖劫持廣泛使用的UAParser.js庫的開發人員的帳戶，用注入惡意軟件的惡意代碼替換合法代碼并木馬。

雖然Sonatype認為偽造的roblox庫可能是一個惡作劇，但這一事件進一步表明，攻擊者不會很快停止濫用流行的開源存儲庫。