NPM 出现 Noblox.js 假包，内置勒索软件和吓人把戏

10 月似乎是多事之秋，网络安全事故接连发生，此前我们就已经报导过 ua-parser-js  NPM 库 被劫持 、SonarQube 平台漏洞被利用 。而 10 月 27 日，据 Sonatype 报导， NPM 上又出现了一些与 Noblox.js 相关的虚假包，这些假包内置了勒索软件和一些吓人的小把戏。

鱼目混珠的 Noblox.js 包

Noblox.js 是沙盒游戏 Roblox 的开源 JavaScript API，用户通常使用这个库来创建与 Roblox 网站交互的游戏脚本。（迄今为止已下载超过 700,000 次）。而这些虚假的包抢注了 Noblox.js 的域名：官方包的域名后缀是“ noblox.js-proxied ”，而假包的域名后缀是 “noblox.js-proxy”和“noblox.js-proxies（最后一个字母是 s）” ，这两个假包由同一个恶意用户（"DarkDev” / “DarkDev1”）上传。

乍一看，这些假包是完全合法的，因为它们的 NPM 页面显示了官方 Noblox 包的自述文件，而且 noblox.js-proxy 的第一个 1.0.0 版本是完全正常的，包含了功能代码、正确的定义和良性的脚本。但是从 1.0.1 版本开始，之前无害的 postinstall.js 文件中出现了一些被加密的文本：

注意：普通可读函数内部的乱码是一个非常危险的信号。

双重加密的 setup.bat 脚本

为了解开这个函数的内容， Juan Aguirre 在 Ubuntu 系统中启动了这个包，但却显示 “无法运行 cmd.exe /c setup.bat ”。

.exe 格式说明假包的目标是 Windows 用户，而 setup.bat 则是一个被双重加密的文件：先用 variable expand 加密，再经过 UTF-16 转码。

反向解码后，我们得到了一个清晰的 Batch 脚本文件，：

如图中所示，setup.bat 脚本首先会运行 fodhelper.exe 来绕过 Windows 帐户控制 (UAC)，然后使用 PowerShell 下载 exclude.bat  、legion.exe 、000.exe 、 tunamor.exe 这四个恶意 exe 文件，并按顺序运行。

勒索软件和吓人的小把戏

最先运行的是  exclude.bat ，一个单行 batch 脚本 ，主要用来关闭病毒防护，然后将文件的根目录加入 Windows Defender 的白名单里。

然后，legion.exe 会删除很多文件、更改注册表内容，然后偷取设备上存储的密码。有意思的是，legion.exe 还会将自己伪装成 Microsoft 更新管理器。

接下来就是重头戏：000.exe，一个 .NET 可执行文件，尝试重建代码：

如图中所示，000.exe 会不停地往外丢东西，txt 文件、bat 脚本、富文本 (RTF) 文档、exe，最后是 MP4 视频。

text.txt 是一个包含字符串“UR NEXT”的文件，Windl.bat 尝试将 Windows 用户帐户名称设置为“UR NEXT”，rniw.exe 会反复弹出带有“逃跑”消息的警告框，并不停地 ping 1.1.1.1 来耗尽系统资源，而 MP4 文件更是播放起让人毛骨悚然的视频：

最后就是我们的勒索软件：tunamor.exe （amor 是西班牙语中的“爱”），运行后是一个赎金页面：

总结一下，这些恶意勒索包通过抢注相似的域名，发布以假乱真的恶意包，来盗取受感染设备的密码、安装特洛伊木马以及勒索软件。

目前，两个恶意的假包都已被 NPM 删除，但随着恶意攻击事件频发，或许我们要仔细思考：如何才能避免开源生态系统（ npm、PyPI 和 Rubygems 等）被恶意攻击者滥用于发布攻击性文件？

相关阅读：

千万级月下载量的 NPM 包 ua-parser-js 被恶意劫持

网传 SonarQube 平台漏洞被利用，大量源码泄露