Luna Grabber adatlopó rosszindulatú programok, amelyek a Roblox felhasználókat célozzák

Aggasztó kiberfenyegetés jelent meg, amely a Roblox közösség fejlesztőit célozza meg. A ReversingLabs kutatói egy rosszindulatú kampányt fedeztek fel, amely a "Luna Grabber" nevű, adatlopó rosszindulatú programot terjesztette. Ezt a rosszindulatú programot több mint egy tucat, a Roblox fejlesztői által gyakran használt nyílt forráskódú szoftvercsomagba juttatták be, hangsúlyozva ennek a kibertámadásnak a kifinomultságát.

A támadás módszertana sokrétű, és olyan taktikákra támaszkodik, mint a gépelési hibák és a fejlett elfedési technikák, hogy rávegyék a felhasználókat a széles körben használt szoftverek hamisított verzióinak letöltésére, amelyek az npm-en, egy híres nyílt forráskódú szoftvertáron találhatók. Ezek a hamis csomagok, bár továbbra is tartalmaznak hiteles kódot, amelyet a fejlesztők keresnek, többlépcsős rosszindulatú támadást rejtenek magukban, amelyek képesek a Luna Grabbert különféle digitális platformokra telepíteni, beleértve a webböngészőket és a Discord alkalmazásokat.

Luna Grabber Detection

A Luna Grabber kezdeti észlelése a ReversingLabs rutinszerű npm monitorozása során történt. A rendszer azonosított egy gyanús „nobox.js-vps” csomagot, amely nyilvánvalóan legitim Roblox API-burkolónak álcázta magát. Ennek a kampánynak az elsődleges célja, hogy információkat gyűjtsön, amelyek egy kincsesbánya a lehetséges jövőbeli támadásokhoz. A Luna Grabber alapvetően „kulcsrakész” nyílt forráskódú rosszindulatú szoftvereszközként működik, rosszindulatú végrehajtható fájlokat generál, amelyeket adathalászat és ellátási lánc támadásokhoz használnak, különös tekintettel az érzékeny adatok kinyerésére a megcélzott fejlesztőktől.

Az Npm, mint a világ egyik legnagyobb nyílt forráskódú szoftvertárolója, bőséges lehetőséget kínál a kibertámadók számára. Ennek a kampánynak azonban eddig viszonylag korlátozott hatása volt, kevesebb mint 1000 felhasználó esett áldozatul a számos kompromittált szoftvercsomag miatt. Noha ezen azonosított csomagok közül sokat eltávolítottak, a kampány továbbra is aggodalomra ad okot.

A Roblox, egy online játékplatform, amely lehetővé teszi a felhasználók számára, hogy virtuális világokat és élményeket hozzanak létre, népszerűsége robbanásszerűen nőtt, különösen a COVID-19 világjárvány idején. Jelenleg több mint 66 millió napi aktív felhasználóval és 214 millió havi aktív felhasználóval büszkélkedhet. Sajnos ez a megugrott érdeklődés a rosszindulatú szereplők figyelmét is felkeltette. 2021-ben egy hasonló megközelítést alkalmaztak, amely magában foglalja a "nobox.js" típusú gépelést a zsarolóvírusok gyanútlan áldozatainak eljuttatására a Roblox közösségen belül.

Ashlee Benge, a ReversingLabs Threat Intelligence Advocacy igazgatója rámutatott egy aggasztó sebezhetőségre a Roblox fejlesztői közösségen belül. Ellentétben a nagyobb vállalati entitások fejlesztőivel, előfordulhat, hogy ezeknek a személyeknek nincs biztonságtudatossága és kifinomultsága az általuk használt harmadik féltől származó könyvtárak biztonságának értékelése során. Ez a tudáshiány ideális célponttá teszi őket a sebezhetőségeket kihasználni kívánó kiberbűnözők számára.

Érdekes módon ez a támadás a normától való eltérést jelzi, mivel az npm-t használja többlépcsős rosszindulatú támadások vektoraként. Hagyományosan az ilyen támadások elterjedtebbek voltak más nyílt forráskódú könyvtárakban, például a PyPi-ben. Azonban, mivel ezek a könyvtárak új hitelesítési funkciókkal fokozták biztonságukat, a rosszindulatú szereplők valószínűleg más adattárak felé helyezik át a hangsúlyt, erre példa Luna Grabber jelenléte az npm-en.