Luna Grabber datenstehlende Malware, die es auf Roblox-Benutzer abgesehen hat
Es ist eine besorgniserregende Cyber-Bedrohung aufgetaucht, die sich gegen Entwickler innerhalb der Roblox-Community richtet. Forscher von ReversingLabs haben eine bösartige Kampagne aufgedeckt, bei der es um die Verbreitung einer datenstehlenden Malware namens „Luna Grabber“ geht. Diese Malware wurde in über ein Dutzend Open-Source-Softwarepakete eingeschleust, die häufig von Roblox-Entwicklern verwendet werden, was die Raffinesse dieses Cyberangriffs unterstreicht.
Die Methodik des Angriffs ist vielfältig und basiert auf Taktiken wie Typo-Squatting und fortschrittlichen Verschleierungstechniken, um Benutzer dazu zu verleiten, gefälschte Versionen weit verbreiteter Software herunterzuladen, die auf npm, einem renommierten Open-Source-Software-Repository, gehostet wird. Diese gefälschten Pakete enthalten zwar immer noch authentischen Code, nach dem Entwickler suchen, bergen jedoch einen mehrstufigen Malware-Angriff, der Luna Grabber auf verschiedenen digitalen Plattformen, einschließlich Webbrowsern und Discord-Anwendungen, verbreiten kann.
Luna Grabber-Erkennung
Die erste Entdeckung von Luna Grabber erfolgte während der routinemäßigen Überwachung von npm durch ReversingLabs. Es wurde ein verdächtiges Paket namens „nobox.js-vps“ identifiziert, das sich offensichtlich als legitimer Roblox-API-Wrapper ausgab. Das Hauptziel dieser Kampagne besteht darin, Informationen zu sammeln, eine Fundgrube für mögliche zukünftige Angriffe. Luna Grabber fungiert im Wesentlichen als „schlüsselfertiges“ Open-Source-Malware-Tool, das bösartige ausführbare Dateien generiert, die bei Phishing- und Supply-Chain-Angriffen verwendet werden, wobei ein besonderer Schwerpunkt auf der Extraktion sensibler Daten von anvisierten Entwicklern liegt.
Npm bietet als eines der weltweit größten Open-Source-Software-Repositories zahlreiche Möglichkeiten für Cyber-Angreifer. Allerdings hatte diese Kampagne bisher nur relativ begrenzte Auswirkungen: Weniger als 1.000 Benutzer fielen den zahlreichen kompromittierten Softwarepaketen zum Opfer. Obwohl viele dieser identifizierten Pakete entfernt wurden, gibt das Fortbestehen der Kampagne weiterhin Anlass zur Sorge.
Roblox, eine Online-Gaming-Plattform, die es Benutzern ermöglicht, virtuelle Welten und Erlebnisse zu schaffen, erfreut sich insbesondere während der COVID-19-Pandemie einem explosionsartigen Anstieg der Popularität. Mittlerweile gibt es über 66 Millionen täglich aktive Nutzer und 214 Millionen monatlich aktive Nutzer. Leider hat dieser Anstieg des Interesses auch die Aufmerksamkeit böswilliger Akteure auf sich gezogen. Im Jahr 2021 wurde ein ähnlicher Ansatz mit Typosquatting auf „nobox.js“ verwendet, um Ransomware an ahnungslose Opfer innerhalb der Roblox-Community zu verteilen.
Ashlee Benge, Director of Threat Intelligence Advocacy bei ReversingLabs, wies auf eine besorgniserregende Schwachstelle innerhalb der Roblox-Entwicklergemeinschaft hin. Im Gegensatz zu Entwicklern für größere Unternehmen mangelt es diesen Personen möglicherweise an Sicherheitsbewusstsein und Fachwissen, wenn es darum geht, die Sicherheit der von ihnen verwendeten Bibliotheken von Drittanbietern zu bewerten. Diese Wissenslücke macht sie zu idealen Zielen für Cyberkriminelle, die Schwachstellen ausnutzen möchten.
Interessanterweise stellt dieser Angriff eine Abweichung von der Norm dar, indem er npm als Vektor für mehrstufige Malware-Angriffe verwendet. Traditionell waren solche Angriffe in anderen Open-Source-Bibliotheken wie PyPi häufiger. Da diese Bibliotheken jedoch ihre Sicherheit durch neue Authentifizierungsfunktionen erhöht haben, verlagern böswillige Akteure möglicherweise ihren Fokus auf andere Repositories, wie die Präsenz von Luna Grabber auf npm zeigt.
