Logiciel malveillant de vol de données Luna Grabber ciblant les utilisateurs de Roblox

Une cybermenace préoccupante est apparue, ciblant les développeurs de la communauté Roblox. Les chercheurs de ReversingLabs ont découvert une campagne malveillante impliquant la distribution d'un logiciel malveillant de vol de données nommé « Luna Grabber ». Ce malware a été injecté dans plus d’une douzaine de logiciels open source couramment utilisés par les développeurs Roblox, soulignant la sophistication de cette cyberattaque.

La méthodologie de l'attaque est multiforme, s'appuyant sur des tactiques telles que la faute de frappe et des techniques avancées d'obscurcissement pour inciter les utilisateurs à télécharger des versions contrefaites de logiciels largement utilisés hébergés sur npm, un référentiel de logiciels open source renommé. Ces faux packages, tout en contenant du code authentique recherché par les développeurs, hébergent une attaque de logiciels malveillants en plusieurs étapes capable de déployer Luna Grabber sur diverses plates-formes numériques, notamment les navigateurs Web et les applications Discord.

Détection du Luna Grabber

La détection initiale de Luna Grabber a eu lieu lors de la surveillance de routine de npm par ReversingLabs. Un paquet suspect, « nobox.js-vps », a été identifié, se faisant passer pour un wrapper d'API Roblox légitime. L'objectif principal de cette campagne est de récolter des informations, un trésor pour de potentielles attaques futures. Luna Grabber agit essentiellement comme un outil malveillant open source « clé en main », générant des exécutables malveillants utilisés dans les attaques de phishing et de chaîne d'approvisionnement, avec un accent particulier sur l'extraction de données sensibles des développeurs ciblés.

Npm, en tant que l'un des plus grands référentiels de logiciels open source au monde, offre de nombreuses opportunités aux cyber-attaquants. Cependant, cette campagne a eu jusqu'à présent un impact relativement limité, avec moins de 1 000 utilisateurs victimes des nombreux logiciels compromis. Même si bon nombre de ces packages identifiés ont été supprimés, la persistance de la campagne reste préoccupante.

Roblox, une plateforme de jeux en ligne permettant aux utilisateurs de créer des mondes et des expériences virtuels, a connu une croissance explosive en popularité, en particulier pendant la pandémie de COVID-19. Il compte désormais plus de 66 millions d’utilisateurs actifs quotidiens et 214 millions d’utilisateurs actifs mensuels. Malheureusement, ce regain d’intérêt a également attiré l’attention d’acteurs malveillants. En 2021, une approche similaire impliquant du typosquatting sur « nobox.js » a été utilisée pour transmettre un ransomware à des victimes sans méfiance au sein de la communauté Roblox.

Ashlee Benge, directrice de Threat Intelligence Advocacy chez ReversingLabs, a souligné une vulnérabilité préoccupante au sein de la communauté des développeurs Roblox. Contrairement aux développeurs de grandes entreprises, ces personnes peuvent manquer de connaissances et de connaissances en matière de sécurité lorsqu'il s'agit d'évaluer la sécurité des bibliothèques tierces qu'elles utilisent. Ce manque de connaissances en fait des cibles idéales pour les cybercriminels cherchant à exploiter leurs vulnérabilités.

Il est intéressant de noter que cette attaque marque une rupture avec la norme en utilisant npm comme vecteur d’attaques de logiciels malveillants en plusieurs étapes. Traditionnellement, de telles attaques sont plus répandues dans d'autres bibliothèques open source, comme PyPi. Cependant, comme ces bibliothèques ont renforcé leur sécurité avec de nouvelles fonctionnalités d'authentification, les acteurs malveillants pourraient se tourner vers d'autres référentiels, comme en témoigne la présence de Luna Grabber sur npm.