RobloxのライブラリのニセNPMパッケージが、ランサムウェアやパスワードを盗むトロイの木馬を無防備なユーザーにインストールしていることがわかりました。
これらのタイポスクワッティングのパッケージは、人気のある Roblox ゲーム API のラッパーである noblox.js を模倣したもので、単体のパッケージと、「noblox.js-proxied」(末尾が ‘s’ ではなく ‘d’ )のような正当な亜種として npm に存在します。
これらはいずれも当社のセキュリティリサーチデータではsonatype-2021-1526として追跡されています。
オープンソースのセキュリティ企業であるSonatype社の分析によると、これらの悪意のあるNPMはGoldenEyeランサムウェアになりすましたランサムウェア「MBRLocker」、トロールウェア、パスワードを盗むトロイの木馬に被害者を感染させているとのことです。
現在悪意のあるNPMライブラリはいずれも削除され、利用できなくなっています。
悪意のあるNPMライブラリをプロジェクトに追加して起動すると、ライブラリはpostinstall.jsスクリプトを実行します。このスクリプトは通常、ライブラリがインストールされた後に正規のコマンドを実行するために使用されますが、今回のケースでは被害者のコンピュータ上で悪意のある活動が開始されます。
postinstall.jsスクリプトは、セキュリティ研究者やソフトウェアによる解析を防ぐために、大きく難読化されています。
このスクリプトが実行されると、「nobox.bat」という難読化されたバッチファイルが起動します。
このバッチファイルは、Sonatype社のセキュリティ研究者であるJuan Aguirre氏によって解読されたもので、Discordから様々なマルウェアをダウンロードし、fodhelper.exeのUACバイパスを利用して起動します
noblox.batバッチファイルによってダウンロードされたファイルを、インストールされた順に以下に示します。
- exclude.bat – C:ドライブ配下のファイルをスキャンしないようにMicrosoft Defenderの除外設定を追加します。
- legion.exe – ブラウザの履歴、クッキー、保存されたパスワードを盗むパスワード盗用型トロイの木馬を展開し、内蔵のウェブカメラでビデオを録画しようとします。
- 000.exe – 現在のユーザー名を「UR NEXT」に変更し、ビデオを再生し、ユーザーのパスワードを変更し、システムからロックしようとするトロルウェアです。
- tunamor.exe – GoldenEyeランサムウェアを装った「Monster Ransomware」と呼ばれるMBRLockerをインストールします。
脅威ランサムウェアのMBRLocker
特に注目すべきは「tunamor.exe」という実行ファイルで、「Monster Ransomware」と名乗るMBRLockerをインストールします。
このランサムウェアが実行されると、コンピュータの強制再起動が行われ、システムの偽のCHKDSKが表示されます。この過程で、ランサムウェアはコンピュータ上のディスクを暗号化しているとされています。
終了すると、コンピュータを再起動し、Petya/ GoldenEyeランサムウェアに元々見られるドクロとクロスボーンのロック画面を表示します。
Enterを押すと、被害者はハードディスクが暗号化されていること、そして身代金を支払うためにTorサイトにアクセスしなければならないことを示す画面が表示されます。
このランサムウェアは広く普及していないようで、これらのNPMパッケージを介してのみ配布されているようです。
Comments