Malware che ruba dati, Luna Grabber, che prende di mira gli utenti Roblox
È emersa una minaccia informatica preoccupante che prende di mira gli sviluppatori all'interno della comunità Roblox. I ricercatori di ReversingLabs hanno scoperto una campagna dannosa che prevede la distribuzione di malware per il furto di dati denominato "Luna Grabber". Questo malware è stato iniettato in oltre una dozzina di pacchetti software open source comunemente utilizzati dagli sviluppatori Roblox, sottolineando la sofisticatezza di questo attacco informatico.
La metodologia dell'attacco è articolata e si basa su tattiche come l'occupazione di errori di battitura e tecniche avanzate di offuscamento per indurre gli utenti a scaricare versioni contraffatte di software ampiamente utilizzato ospitato su npm, un rinomato repository di software open source. Questi pacchetti fasulli, pur contenendo il codice autentico ricercato dagli sviluppatori, ospitano un attacco malware in più fasi in grado di distribuire Luna Grabber su varie piattaforme digitali, inclusi browser Web e applicazioni Discord.
Rilevamento del Luna Grabber
Il rilevamento iniziale di Luna Grabber è avvenuto durante il monitoraggio di routine di npm da parte di ReversingLabs. È stato identificato un pacchetto sospetto, "nobox.js-vps", palesemente mascherato da wrapper API Roblox legittimo. L'obiettivo principale di questa campagna è raccogliere informazioni, una miniera di tesori per potenziali attacchi futuri. Luna Grabber agisce essenzialmente come uno strumento malware open source "chiavi in mano", generando file eseguibili dannosi utilizzati negli attacchi di phishing e alla catena di fornitura, con particolare attenzione all'estrazione di dati sensibili da sviluppatori presi di mira.
Npm, essendo uno dei più grandi repository di software open source al mondo, offre ampie opportunità agli aggressori informatici. Tuttavia, questa campagna ha avuto finora un impatto relativamente limitato, con meno di 1.000 utenti vittime dei numerosi pacchetti software compromessi. Anche se molti dei pacchetti individuati sono stati rimossi, la persistenza della campagna resta motivo di preoccupazione.
Roblox, una piattaforma di gioco online che consente agli utenti di creare mondi ed esperienze virtuali, ha visto una crescita esplosiva in popolarità, soprattutto durante la pandemia di COVID-19. Ora vanta oltre 66 milioni di utenti attivi giornalieri e 214 milioni di utenti attivi mensili. Sfortunatamente, questo aumento di interesse ha attirato anche l’attenzione di malintenzionati. Nel 2021, un approccio simile che prevedeva il typosquatting su "nobox.js" è stato utilizzato per fornire ransomware a vittime ignare all'interno della comunità Roblox.
Ashlee Benge, direttrice del Threat Intelligence Advocacy presso ReversingLabs, ha sottolineato una preoccupante vulnerabilità all'interno della comunità di sviluppatori Roblox. A differenza degli sviluppatori di entità aziendali più grandi, questi individui potrebbero non avere consapevolezza della sicurezza e non essere sofisticati quando si tratta di valutare la sicurezza delle librerie di terze parti che utilizzano. Questa lacuna di conoscenze li rende obiettivi ideali per i criminali informatici che cercano di sfruttare le vulnerabilità.
È interessante notare che questo attacco segna una deviazione dalla norma utilizzando npm come vettore per attacchi malware in più fasi. Tradizionalmente, tali attacchi sono stati più diffusi in altre librerie open source, come PyPi. Tuttavia, poiché queste librerie hanno rafforzato la loro sicurezza con nuove funzionalità di autenticazione, gli autori malintenzionati stanno probabilmente spostando la loro attenzione su altri repository, esemplificato dalla presenza di Luna Grabber su npm.
