那些Robloxnpm下载可能感染了恶意软件

网络安全研究人员再次发现(并根除)恶意npm包，这一次向毫无戒心的用户提供勒索软件和密码窃取木马。假装是RobloxJavaScript库，这两个恶意npm包被命名为noblox.js-proxy和noblox.js-proxies，并使用错字抢注向任何寻找名为noblox.js-proxied的合法RobloxAPI包装器的人展示自己，通过更改图书馆名称中的单个字母。

“这些域名抢注包模仿了noblox.js，这是一个流行的Roblox游戏API包装器，它作为一个独立的包存在于npm上，以及合法的变体，例如noblox.js-proxied(以'd'而不是's'结尾)，”分享道Sonatype的安全研究员JuanAguirre。

我们正在研究我们的读者如何将VPN与Netflix等流媒体网站结合使用，以便我们改进内容并提供更好的建议。此调查不会占用您超过60秒的时间，如果您能与我们分享您的经验，我们将不胜感激。

Noblox.js是流行游戏Roblox的开源JavaScriptAPI。根据Aguirre的说法，该库的下载量已超过700,000，通常用于创建与Roblox网站交互的游戏内脚本。

对恶意库的分析表明，它们的作者向它们填充了恶意软件、模仿臭名昭著的GoldenEye勒索软件的MBRLocker勒索软件、密码窃取木马以及一段恐怖视频。

Aguirre指出，这两个域名抢注库并没有造成任何真正的损害，因为它们在上传后不久就被发现了，尽管它们仍然分别达到了281和106次下载。

“……但很明显，威胁行为者希望针对如此受欢迎的组件进行何种规模的攻击，”Aguirre指出。

有趣的是，就在几天前，Sonatype研究人员发现威胁行为者企图劫持广泛使用的UAParser.js库的开发人员的帐户，用注入恶意软件的恶意代码替换合法代码并木马。

虽然Sonatype认为伪造的roblox库可能是一个恶作剧，但这一事件进一步表明，攻击者不会很快停止滥用流行的开源存储库。