Checkmarx 公司的研究员 Yehuda Gelb 在技术报告中提到，“通过模拟热门 ‘noblox.js’ 库，发布数十个包，窃取敏感数据并攻陷系统。”

该攻击活动的详情由 ReversingLabs 在2023年8月首次记录，它是 Luna Token Grabber 窃取器活动的一部分，被指重现了“两年前（2021年10月）所发现攻击活动”。

自今年开始，另外两个包 noblox.js-proxy-server 和 noblox-ts 被识别为恶意包并模拟热门 Node.js 库来传播窃取器恶意软件和一个远程访问木马 Quasar RAT。

Gelb 表示，“攻击人员利用多种技术如 brandjacking（品牌劫持）、combosquatting（组合式域名仿冒） 和 starjacking （标星劫持）等为其恶意包营造一种合法幻象。”为此，这些包被命名为 noblox.js-async、noblox.js-thread、noblox.js-threads 和 noblox.js-api，以此诱骗不知情的开发人员它们与合法包 “noblox.js”相关。

这些包的下载数据如下：

攻击者利用的另外一种技术是starjacking（标星劫持），即恶意包将来源仓库标注为真实 noblox.js 库，以增加其可信度。最近版本中的嵌入式恶意代码是处理托管在 GitHub 仓库上额外payload 的网关，在窃取 Discord 令牌的同时更新微软 Defender杀毒例外列表以躲避检测，并通过 Windows Registry 变更的方式设置可持久性。

Gelb 提到，“该恶意软件的有效性主要体现在持久性方式，它利用 Windows Settings 应用确保持续的访问权限。结果，每当用户尝试打开 Windows Settings app时，系统就不可避免地执行该恶意软件。”

这一攻击链的最终目标是部署 Quasar RAT，使攻击者获得受感染系统的远程控制。信息通过 Discord 网勾被收割到攻击者的 C2服务器中。

这些研究结果表明，尽管已采取下架措施，但仍有稳定的新包流被发布，因此开发人员应保持警惕。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~