完美世界txt下载,长生界辰东小说,神武八荒一颗小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

十多個(gè)惡意npm軟件包瞄準(zhǔn)Roblox游戲開發(fā)者

自 2023 年 8 月開始，在 npm 軟件包存儲(chǔ)庫(kù)中發(fā)現(xiàn)了十多個(gè)惡意軟件包，這些軟件包能夠在 Roblox 開發(fā)人員的系統(tǒng)上部署名為L(zhǎng)una Token Grabber 的開源信息竊取程序。

ReversingLabs 于 8 月 1 日首次檢測(cè)到正在進(jìn)行的活動(dòng)，該活動(dòng)使用了偽裝成合法包noblox.js的模塊，該包是一個(gè) API 包裝器，用于創(chuàng)建與 Roblox 游戲平臺(tái)交互的腳本。

這家軟件供應(yīng)鏈安全公司將此次活動(dòng)描述為2021 年 10 月“兩年前發(fā)現(xiàn)的一次攻擊的重演”。

軟件威脅研究員 Lucija Valenti?在周二的分析中表示：“惡意軟件包 [...] 從合法的 noblox.js 軟件包中復(fù)制代碼，但添加了惡意的信息竊取功能?！?/p>

這些軟件包在被下架前已累計(jì)下載 963 次。流氓軟件包的名稱如下：

noblox.js-vps（版本 4.14.0 至 4.23.0）
noblox.js-ssh（版本 4.2.3 至 4.2.5）
noblox.js-secure（版本 4.1.0、4.2.0 至 4.2.3）

雖然最新攻擊浪潮的大致輪廓與之前的攻擊浪潮相似，但它也表現(xiàn)出了一些獨(dú)特的特征，特別是在部署可交付 Luna Grabber 的可執(zhí)行文件方面。

ReversingLabs 表示，這一進(jìn)展是 npm 上發(fā)現(xiàn)的多階段感染序列的罕見實(shí)例之一。

瓦倫蒂奇指出：“對(duì)于針對(duì)軟件供應(yīng)鏈的惡意活動(dòng)，復(fù)雜攻擊和簡(jiǎn)單攻擊之間的區(qū)別通常取決于惡意行為者掩飾其攻擊并使惡意軟件包看起來合法的程度?！?/p>

特別是，這些模塊巧妙地將其惡意功能隱藏在安裝后調(diào)用的名為 postinstall.js 的單獨(dú)文件中。

這是因?yàn)檎嬲?noblox.js 包還使用一個(gè)同名的文件來向用戶顯示感謝消息以及指向其文檔和 GitHub 存儲(chǔ)庫(kù)的鏈接。

另一方面，虛假變體利用 JavaScript 文件來驗(yàn)證該軟件包是否安裝在 Windows 計(jì)算機(jī)上，如果是，則下載并執(zhí)行 Discord CDN 上托管的第二階段有效負(fù)載，或者顯示錯(cuò)誤信息。

ReversingLabs 表示，第二階段隨著每次迭代不斷發(fā)展，逐步添加更多功能和混淆機(jī)制來阻止分析。該腳本的主要職責(zé)是下載Luna Token Grabber，這是一個(gè) Python 工具，可以從 Web 瀏覽器中獲取憑證以及 Discord 令牌。

然而，npm 活動(dòng)背后的威脅參與者似乎只選擇使用 Luna Token Grabber 背后的作者提供的可配置構(gòu)建器從受害者那里獲取系統(tǒng)信息。

這并不是 Luna Token Grabber 第一次在野外被發(fā)現(xiàn)。今年 6 月初，Trellix披露了一種名為 Skuld 的基于 Go 的新信息竊取程序的詳細(xì)信息，該程序與惡意軟件菌株重疊。

瓦倫蒂奇說：“這再次凸顯了惡意行為者使用域名仿冒作為一種技術(shù)來欺騙開發(fā)人員以類似名稱的合法軟件包為幌子下載惡意代碼的趨勢(shì)?！?/p>
本文標(biāo)題：十多個(gè)惡意npm軟件包瞄準(zhǔn)Roblox游戲開發(fā)者
網(wǎng)頁(yè)URL：http://fisionsoft.com.cn/article/cccphes.html

新聞中心

其他資訊