Roblox ユーザーを標的としたデータ窃取マルウェア「Luna Grabber」

Roblox コミュニティ内の開発者を標的とした、懸念すべきサイバー脅威が出現しました。 ReversingLabs の研究者は、「Luna Grabber」という名前のデータ窃取マルウェアの配布を伴う悪意のあるキャンペーンを発見しました。このマルウェアは、Roblox 開発者が一般的に使用する十数個のオープンソース ソフトウェア パッケージに注入されており、このサイバー攻撃の巧妙さを浮き彫りにしています。

この攻撃の手口は多面的であり、タイポスクワッティングや高度な難読化技術などの戦術に依存して、有名なオープンソース ソフトウェア リポジトリである npm でホストされ、広く使用されているソフトウェアの偽造バージョンをダウンロードするようにユーザーを誘い込みます。これらの偽パッケージには、開発者が求める本物のコードが含まれている一方で、Web ブラウザや Discord アプリケーションなどのさまざまなデジタル プラットフォームに Luna Grabber を展開できる多段階のマルウェア攻撃が潜んでいます。

ルナグラバーの検出

Luna Grabber の最初の検出は、ReversingLabs による npm の日常監視中に行われました。合法的な Roblox API ラッパーをあからさまに装った、不審なパッケージ「nobox.js-vps」が特定されました。このキャンペーンの主な目的は、将来の攻撃の可能性がある宝庫である情報を収集することです。 Luna Grabber は基本的に「ターンキー」オープンソース マルウェア ツールとして機能し、ターゲットの開発者から機密データを抽出することに特に重点を置き、フィッシングやサプライ チェーン攻撃に使用される悪意のある実行可能ファイルを生成します。

Npm は、世界最大のオープンソース ソフトウェア リポジトリの 1 つとして、サイバー攻撃者に十分な機会を提供します。ただし、このキャンペーンの影響はこれまでのところ比較的限られており、多数の侵害されたソフトウェア パッケージの被害に遭ったユーザーは 1,000 人未満です。これらの特定されたパッケージの多くは削除されましたが、キャンペーンの継続性には懸念が残っています。

ユーザーが仮想世界や仮想体験を作成できるオンライン ゲーム プラットフォームである Roblox は、特に新型コロナウイルス感染症のパンデミック中に人気が爆発的に増加しました。現在、毎日のアクティブ ユーザー数は 6,600 万人、月間アクティブ ユーザー数は 2 億 1,400 万人を超えています。残念ながら、この関心の高まりは悪意のある攻撃者の注目も集めています。 2021 年には、「nobox.js」でのタイポスクワッティングを含む同様のアプローチが、Roblox コミュニティ内の何も知らない被害者にランサムウェアを配布するために使用されました。

ReversingLabs の脅威インテリジェンス アドボカシー ディレクターである Ashlee Benge 氏は、Roblox 開発者コミュニティ内の懸念すべき脆弱性を指摘しました。大企業の開発者とは異なり、これらの個人は、使用するサードパーティ ライブラリの安全性を評価する際のセキュリティ意識や知識が不足している可能性があります。この知識のギャップにより、脆弱性を悪用しようとするサイバー犯罪者にとって理想的な標的となります。

興味深いことに、この攻撃は、多段階マルウェア攻撃のベクトルとして npm を使用するという標準からの逸脱を示しています。従来、このような攻撃は、PyPi などの他のオープンソース ライブラリでより蔓延していました。ただし、これらのライブラリが新しい認証機能でセキュリティを強化しているため、npm 上の Luna Grabber の例のように、悪意のある攻撃者は他のリポジトリに焦点を移している可能性があります。