Luna Grabber Data-Stjæle Malware rettet mod Roblox-brugere
En bekymrende cybertrussel er dukket op, rettet mod udviklere inden for Roblox-fællesskabet. Forskere fra ReversingLabs har afsløret en ondsindet kampagne, der involverer distribution af data-stjælende malware ved navn "Luna Grabber." Denne malware er blevet injiceret i over et dusin open source-softwarepakker, der almindeligvis bruges af Roblox-udviklere, hvilket understreger det sofistikerede ved dette cyberangreb.
Angrebets metodologi er mangefacetteret, idet den er afhængig af taktikker som typo-squatting og avancerede sløringsteknikker for at lokke brugere til at downloade forfalskede versioner af udbredt software hostet på npm, et berømt open source-softwarelager. Disse falske pakker, mens de stadig indeholder autentisk kode, som udviklere søger, rummer et multi-trins malware-angreb, der er i stand til at implementere Luna Grabber på tværs af forskellige digitale platforme, herunder webbrowsere og Discord-applikationer.
Luna Grabber Detection
Den første påvisning af Luna Grabber kom under ReversingLabs' rutinemæssige overvågning af npm. En mistænkelig pakke, "nobox.js-vps," blev identificeret, åbenlyst forklædt som en legitim Roblox API-indpakning. Denne kampagnes primære mål er at høste information, et skattekammer for potentielle fremtidige angreb. Luna Grabber fungerer i det væsentlige som et 'nøglefærdigt' open source-malwareværktøj, der genererer ondsindede eksekverbare filer, der bruges i phishing- og supply chain-angreb, med et særligt fokus på at udtrække følsomme data fra målrettede udviklere.
Npm, som et af verdens største open source-softwarelagre, giver rige muligheder for cyberangribere. Denne kampagne har dog haft en relativt begrænset effekt indtil videre, hvor mindre end 1.000 brugere er blevet ofre på tværs af de talrige kompromitterede softwarepakker. Selvom mange af disse identificerede pakker er blevet fjernet, er kampagnens vedholdenhed fortsat et problem.
Roblox, en online spilleplatform, der gør det muligt for brugere at skabe virtuelle verdener og oplevelser, har oplevet en eksplosiv vækst i popularitet, især under COVID-19-pandemien. Det kan nu prale af over 66 millioner daglige aktive brugere og 214 millioner månedlige aktive brugere. Desværre har denne stigning i interesse også tiltrukket sig opmærksomhed fra ondsindede aktører. I 2021 blev en lignende tilgang, der involverede typosquatting på "nobox.js" brugt til at levere ransomware til intetanende ofre i Roblox-samfundet.
Ashlee Benge, direktør for Threat Intelligence Advocacy hos ReversingLabs, påpegede en bekymrende sårbarhed i Roblox-udviklersamfundet. I modsætning til udviklere til større virksomhedsenheder kan disse personer mangle sikkerhedsbevidsthed og sofistikering, når det kommer til at evaluere sikkerheden af tredjepartsbiblioteker, de bruger. Denne videnskløft gør dem til ideelle mål for cyberkriminelle, der ønsker at udnytte sårbarheder.
Interessant nok markerer dette angreb en afvigelse fra normen ved at bruge npm som vektor for multi-trins malware-angreb. Traditionelt har sådanne angreb været mere udbredte i andre open source-biblioteker, som PyPi. Men da disse biblioteker har øget deres sikkerhed med nye autentificeringsfunktioner, flytter ondsindede aktører muligvis deres fokus til andre depoter, eksemplificeret ved Luna Grabbers tilstedeværelse på npm.
