Luna Grabber Data-Stealing Malware που στοχεύει χρήστες Roblox

Έχει εμφανιστεί μια ανησυχητική απειλή στον κυβερνοχώρο, η οποία στοχεύει προγραμματιστές εντός της κοινότητας Roblox. Ερευνητές από το ReversingLabs ανακάλυψαν μια κακόβουλη καμπάνια που περιλαμβάνει τη διανομή κακόβουλου λογισμικού που κλέβει δεδομένα με το όνομα "Luna Grabber". Αυτό το κακόβουλο λογισμικό έχει εγχυθεί σε πάνω από δώδεκα πακέτα λογισμικού ανοιχτού κώδικα που χρησιμοποιούνται συνήθως από προγραμματιστές της Roblox, υπογραμμίζοντας την πολυπλοκότητα αυτής της επίθεσης στον κυβερνοχώρο.

Η μεθοδολογία της επίθεσης είναι πολύπλευρη, βασιζόμενη σε τακτικές όπως το typo-squatting και τις προηγμένες τεχνικές συσκότισης για να παρασύρουν τους χρήστες να κατεβάσουν πλαστές εκδόσεις ευρέως χρησιμοποιούμενου λογισμικού που φιλοξενείται στο npm, ένα διάσημο αποθετήριο λογισμικού ανοιχτού κώδικα. Αυτά τα πλαστά πακέτα, ενώ εξακολουθούν να περιέχουν αυθεντικό κώδικα που αναζητούν οι προγραμματιστές, φιλοξενούν μια επίθεση κακόβουλου λογισμικού πολλαπλών σταδίων ικανή να αναπτύξει το Luna Grabber σε διάφορες ψηφιακές πλατφόρμες, συμπεριλαμβανομένων των προγραμμάτων περιήγησης ιστού και των εφαρμογών Discord.

Luna Grabber Detection

Η αρχική ανίχνευση του Luna Grabber ήρθε κατά τη συνήθη παρακολούθηση των npm από την ReversingLabs. Εντοπίστηκε ένα ύποπτο πακέτο, το "nobox.js-vps", το οποίο μεταμφιέζεται κατάφωρα ως νόμιμο περιτύλιγμα API Roblox. Πρωταρχικός στόχος αυτής της εκστρατείας είναι η συλλογή πληροφοριών, ένας θησαυρός για πιθανές μελλοντικές επιθέσεις. Το Luna Grabber ουσιαστικά λειτουργεί ως εργαλείο κακόβουλου λογισμικού ανοιχτού κώδικα «με το κλειδί στο χέρι», δημιουργώντας κακόβουλα εκτελέσιμα αρχεία που χρησιμοποιούνται σε επιθέσεις phishing και εφοδιαστικής αλυσίδας, με ιδιαίτερη έμφαση στην εξαγωγή ευαίσθητων δεδομένων από στοχευμένους προγραμματιστές.

Το Npm, ως ένα από τα μεγαλύτερα αποθετήρια λογισμικού ανοιχτού κώδικα στον κόσμο, παρέχει άφθονες ευκαιρίες για εισβολείς στον κυβερνοχώρο. Ωστόσο, αυτή η καμπάνια είχε σχετικά περιορισμένο αντίκτυπο μέχρι στιγμής, με λιγότερους από 1.000 χρήστες να πέφτουν θύματα στα πολυάριθμα πακέτα λογισμικού που έχουν παραβιαστεί. Ενώ πολλά από αυτά τα πακέτα που έχουν εντοπιστεί έχουν αφαιρεθεί, η επιμονή της καμπάνιας παραμένει ανησυχητική.

Το Roblox, μια διαδικτυακή πλατφόρμα τυχερών παιχνιδιών που επιτρέπει στους χρήστες να δημιουργούν εικονικούς κόσμους και εμπειρίες, έχει δει εκρηκτική αύξηση σε δημοτικότητα, ειδικά κατά τη διάρκεια της πανδημίας COVID-19. Τώρα διαθέτει πάνω από 66 εκατομμύρια ενεργούς χρήστες καθημερινά και 214 εκατομμύρια μηνιαίους ενεργούς χρήστες. Δυστυχώς, αυτή η αύξηση του ενδιαφέροντος έχει προσελκύσει και την προσοχή κακόβουλων ηθοποιών. Το 2021, μια παρόμοια προσέγγιση που περιελάμβανε το typosquatting στο "nobox.js" χρησιμοποιήθηκε για την παράδοση ransomware σε ανυποψίαστα θύματα εντός της κοινότητας Roblox.

Η Ashlee Benge, Διευθύντρια του Threat Intelligence Advocacy στο ReversingLabs, επεσήμανε μια ανησυχητική ευπάθεια στην κοινότητα προγραμματιστών Roblox. Σε αντίθεση με τους προγραμματιστές για μεγαλύτερες εταιρικές οντότητες, αυτά τα άτομα ενδέχεται να μην έχουν επίγνωση και πολυπλοκότητα όσον αφορά την ασφάλεια όταν πρόκειται για την αξιολόγηση της ασφάλειας των βιβλιοθηκών τρίτων που χρησιμοποιούν. Αυτό το κενό γνώσης τα καθιστά ιδανικούς στόχους για εγκληματίες του κυβερνοχώρου που θέλουν να εκμεταλλευτούν ευπάθειες.

Είναι ενδιαφέρον ότι αυτή η επίθεση σηματοδοτεί μια απόκλιση από τον κανόνα χρησιμοποιώντας το npm ως φορέα για επιθέσεις κακόβουλου λογισμικού πολλαπλών σταδίων. Παραδοσιακά, τέτοιες επιθέσεις ήταν πιο διαδεδομένες σε άλλες βιβλιοθήκες ανοιχτού κώδικα, όπως η PyPi. Ωστόσο, καθώς αυτές οι βιβλιοθήκες έχουν ενισχύσει την ασφάλειά τους με νέες δυνατότητες ελέγχου ταυτότητας, οι κακόβουλοι παράγοντες πιθανώς να μετατοπίζουν την εστίασή τους σε άλλα αποθετήρια, όπως αποδεικνύεται από την παρουσία της Luna Grabber στο npm.