'Noblox.js' NPM Malware

Un nouveau package menaçant nommé « noblox.js-rpc » a été détecté sur le registre npm par des chercheurs en cybersécurité. La menace est conçue pour déployer plusieurs infostealers capables d'obtenir diverses données sensibles des machines compromises. Les données collectées peuvent inclure les informations d'identification du compte, des fichiers privés, ainsi que la clé d'enregistrement Windows. La dernière étape de l'attaque noblox.js-rpc comprend l'activation d'un module de type ransomware.

Détails techniques

L'attaque commence par un script de post-installation à partir du fichier package.json de la menace noblox.js-rpc. Avant de récupérer le reste de la charge utile menaçante, une vérification de l'environnement est effectuée, car la menace vise les systèmes Windowsuniquement. Si la vérification renvoie un résultat positif, le malware procède à l'exécution d'un fichier setup.bat.

Ce script batch fonctionne comme un compte-gouttes chargé de récupérer le reste des exécutables faisant partie de l'attaque. Quatre exécutables supplémentaires ont été identifiés : « Rar.bat », « Rar.exe », « Rara.exe » et « Mbr.exe ». Le script batch ajoute également une exclusion générale - « C:/ » à Windows Defender pour empêcher la fonction de sécurité d'interférer avec ses activités nuisibles.

La phase suivante de l'attaque consiste à exécuter les deux infostealers - Rar.exe et Rara.exe. Tout d'abord, le voleur personnalisé Rar.exe est exécuté pour obtenir les fichiers de session Minecraft de la victime et les cookies Roblox. Ensuite, pour s'assurer que toutes les données sensibles ont été récoltées, Rara.exe est lancé et il procède à l'assemblage de diverses informations d'identification.

La dernière étape voit le déploiement d'une menace de type ransomware, une variante de MBRLocker,peut-être. Au lieu de crypter les données de la victime, Mbr.exe écrase le Master Boot Record du système. Cela empêchera l'ensemble du système de redémarrer, empêchant les utilisateurs d'accéder à tous leurs fichiers. Un message de rançon sera affiché aux victimes, indiquant qu'elles devront rejoindre un serveur Discord spécifié pour recevoir des instructions supplémentaires sur le paiement. La note mentionne également que la rançon demandée pourrait aller de 100 $ à 500 $. Les pirates avertissent également qu'après 48 heures, l'intégralité du disque dur sera effacée tandis que les informations collectées seront divulguées au public.

Victimes de Noblox.js

Il est évident que les principales victimes de la menace sont les joueurs de Roblox. En tant que tels, les attaquants ont trouvé un moyen innovant d'inciter leurs victimes à installer et à exécuter le package menaçant. Les pirates rejoignent des serveurs discord spécifiques dédiés au partage de jeux Roblox personnalisés.

Les pirates prétendent ensuite offrir aux utilisateurs la possibilité de gagner de l'argent réel, des abonnements aux niveaux payants de Discord, ou Robux, la devise Roblox du jeu. Pour obtenir de l'argent, les utilisateurs devront héberger des robots fournis par les attaquants. Bien sûr, au lieu des gains monétaires attendus, les utilisateurs reçoivent la menace 'Noblox.js' et subiront des conséquences désastreuses s'ils exécutent le fichier corrompu.