Luna Grabber, malware de robo de datos dirigido a usuarios de Roblox

Ha surgido una preocupante amenaza cibernética dirigida a los desarrolladores de la comunidad Roblox. Los investigadores de ReversingLabs han descubierto una campaña maliciosa que implica la distribución de un malware de robo de datos llamado "Luna Grabber". Este malware se ha inyectado en más de una docena de paquetes de software de código abierto comúnmente utilizados por los desarrolladores de Roblox, lo que subraya la sofisticación de este ciberataque.

La metodología del ataque es multifacética y se basa en tácticas como la manipulación de errores tipográficos y técnicas avanzadas de ofuscación para atraer a los usuarios a descargar versiones falsificadas de software ampliamente utilizado alojado en npm, un reconocido repositorio de software de código abierto. Estos paquetes falsos, si bien aún contienen el código auténtico que buscan los desarrolladores, albergan un ataque de malware de varias etapas capaz de implementar Luna Grabber en varias plataformas digitales, incluidos navegadores web y aplicaciones Discord.

Detección de Luna Grabber

La detección inicial de Luna Grabber se produjo durante el monitoreo de rutina de npm por parte de ReversingLabs. Se identificó un paquete sospechoso, "nobox.js-vps", que se hacía pasar descaradamente por un contenedor API legítimo de Roblox. El objetivo principal de esta campaña es recolectar información, un tesoro escondido para posibles ataques futuros. Luna Grabber actúa esencialmente como una herramienta de malware de código abierto "llave en mano", que genera ejecutables maliciosos utilizados en ataques de phishing y a la cadena de suministro, con un enfoque particular en la extracción de datos confidenciales de los desarrolladores específicos.

Npm, como uno de los repositorios de software de código abierto más grandes del mundo, ofrece amplias oportunidades para los ciberatacantes. Sin embargo, esta campaña ha tenido un impacto relativamente limitado hasta ahora, con menos de 1.000 usuarios víctimas de los numerosos paquetes de software comprometidos. Si bien muchos de estos paquetes identificados han sido eliminados, la persistencia de la campaña sigue siendo motivo de preocupación.

Roblox, una plataforma de juegos en línea que permite a los usuarios crear mundos y experiencias virtuales, ha experimentado un crecimiento explosivo en popularidad, especialmente durante la pandemia de COVID-19. Ahora cuenta con más de 66 millones de usuarios activos diarios y 214 millones de usuarios activos mensuales. Desafortunadamente, este aumento de interés también ha atraído la atención de actores maliciosos. En 2021, se utilizó un enfoque similar que implicaba errores tipográficos en "nobox.js" para entregar ransomware a víctimas desprevenidas dentro de la comunidad Roblox.

Ashlee Benge, directora de Defensa de Inteligencia de Amenazas en ReversingLabs, señaló una vulnerabilidad preocupante dentro de la comunidad de desarrolladores de Roblox. A diferencia de los desarrolladores de entidades corporativas más grandes, estas personas pueden carecer de conocimiento y sofisticación en materia de seguridad cuando se trata de evaluar la seguridad de las bibliotecas de terceros que utilizan. Esta brecha de conocimiento los convierte en objetivos ideales para los ciberdelincuentes que buscan explotar vulnerabilidades.

Curiosamente, este ataque marca una desviación de la norma al utilizar npm como vector para ataques de malware de varias etapas. Tradicionalmente, este tipo de ataques han sido más frecuentes en otras bibliotecas de código abierto, como PyPi. Sin embargo, a medida que estas bibliotecas han reforzado su seguridad con nuevas funciones de autenticación, es posible que los actores maliciosos estén cambiando su enfoque a otros repositorios, como lo ejemplifica la presencia de Luna Grabber en npm.