恶意NPM库在安装密码窃取程序和勒索软件时被抓获

恶意参与者再次向NPM官方存储库发布了另外两个错误库，它们模仿游戏公司Roblox的合法软件包，目的是分发窃取凭证、安装远程访问特洛伊木马，并用勒索软件感染受损系统

假包裹—；命名为“noblox.js proxy”和“noblox.js proxy”—；他们被发现模拟了一个名为“noblox.js”的库，这是NPM上提供的Roblox游戏API包装，每周下载近20000次，每个中毒库分别下载了281次和106次

据Sonatype研究人员Juan Aguirre称，他发现了恶意的NPM软件包，noblox的作者。js proxy首先发布了一个良性版本，后来在安装后的JavaScript文件中篡改了模糊文本，实际上是一个批处理（.bat）脚本

此批处理脚本反过来从Discord的内容交付网络（CDN）下载恶意可执行文件，这些文件负责禁用反恶意软件引擎、在主机上实现持久性、虹吸浏览器凭据，甚至部署具有勒索软件功能的二进制文件

Check Point research和微软旗下RiskIQ的最新研究揭示了威胁参与者如何越来越多地滥用拥有1.5亿用户的平台Discord CDN，持续交付27个独特的恶意软件系列，从后门和密码窃取到间谍软件和特洛伊木马

尽管这两个恶意的NPM库都已被删除，不再可用，但研究结果再次表明，NPM、PyPI和RubyGems等流行的代码注册中心已成为执行各种攻击的利润丰厚的前沿

这一披露还反映了最近针对“UAParser.js”的供应链攻击，这是一个流行的JavaScript NPM库，每周下载量超过600万次，导致开发人员的帐户被劫持，用加密货币挖掘和凭证窃取恶意软件破坏包，在其他三个复制加密挖掘软件包从注册表中清除几天后。