„Luna Grabber“ duomenų vagia kenkėjiška programa, skirta „Roblox“ naudotojams

Iškilo kibernetinė grėsmė, skirta Roblox bendruomenės kūrėjams. Tyrėjai iš ReversingLabs atskleidė kenkėjišką kampaniją, apimančią duomenis vagiančios kenkėjiškos programos, pavadintos „Luna Grabber“, platinimą. Ši kenkėjiška programa buvo įtraukta į daugiau nei tuziną atvirojo kodo programinės įrangos paketų, kuriuos dažniausiai naudoja Roblox kūrėjai, ir tai pabrėžia šios kibernetinės atakos sudėtingumą.

Atakos metodika yra įvairiapusė ir remiasi tokiomis taktikomis kaip klaidos klaidinimas ir pažangūs užmaskavimo metodai, siekiant privilioti vartotojus atsisiųsti padirbtas plačiai naudojamos programinės įrangos versijas, esančias npm – garsioje atvirojo kodo programinės įrangos saugykloje. Šie netikri paketai, nors ir vis dar turi autentišką kodą, kurio ieško kūrėjai, apima kelių etapų kenkėjiškų programų puolimą, galintį įdiegti „Luna Grabber“ įvairiose skaitmeninėse platformose, įskaitant žiniatinklio naršykles ir „Discord“ programas.

Luna Grabber aptikimas

Pradinis Luna Grabber aptikimas buvo atliktas „ReversingLabs“ įprasto npm stebėjimo metu. Buvo nustatytas įtartinas paketas „nobox.js-vps“, akivaizdžiai prisidengęs kaip teisėtas Roblox API paketas. Pagrindinis šios kampanijos tikslas – rinkti informaciją, galimų būsimų išpuolių lobį. „Luna Grabber“ iš esmės veikia kaip „iki rakto“ atvirojo kodo kenkėjiškų programų įrankis, generuojantis kenkėjiškas vykdomąsias programas, naudojamas sukčiavimo ir tiekimo grandinės atakoms, ypač daug dėmesio skiriant slaptiems duomenims iš tikslinių kūrėjų.

Npm, kaip viena didžiausių pasaulyje atvirojo kodo programinės įrangos saugyklų, suteikia daug galimybių kibernetiniams užpuolikams. Tačiau ši kampanija iki šiol turėjo gana ribotą poveikį – mažiau nei 1000 vartotojų tapo aukomis dėl daugybės pažeistų programinės įrangos paketų. Nors daugelis šių nustatytų paketų buvo pašalinti, kampanijos atkaklumas tebėra susirūpinęs.

„Roblox“, internetinių žaidimų platforma, leidžianti vartotojams kurti virtualius pasaulius ir patirti patirtį, populiarėja, ypač COVID-19 pandemijos metu. Dabar ji gali pasigirti daugiau nei 66 milijonais kasdienių aktyvių vartotojų ir 214 milijonų aktyvių vartotojų kas mėnesį. Deja, šis susidomėjimo antplūdis patraukė ir piktybiškų veikėjų dėmesį. 2021 m. buvo naudojamas panašus metodas, apimantis rašybos klaidas „nobox.js“, perduodant išpirkos reikalaujančias programas nieko neįtariančioms aukoms Roblox bendruomenėje.

Ashlee Benge, „ReversingLabs“ grėsmių žvalgybos gynimo direktorė, atkreipė dėmesį į susirūpinimą keliantį pažeidžiamumą „Roblox“ kūrėjų bendruomenėje. Skirtingai nuo didesnių įmonių kūrėjų, šiems asmenims gali trūkti saugumo supratimo ir rafinuotumo, kai reikia įvertinti jų naudojamų trečiųjų šalių bibliotekų saugą. Dėl šios žinių spragos jie yra idealūs taikiniai kibernetiniams nusikaltėliams, norintiems išnaudoti pažeidžiamumą.

Įdomu tai, kad ši ataka žymi nukrypimą nuo normos, naudojant npm kaip kelių etapų kenkėjiškų programų atakų vektorių. Tradiciškai tokios atakos buvo labiau paplitusios kitose atvirojo kodo bibliotekose, pvz., PyPi. Tačiau, kadangi šios bibliotekos sustiprino savo saugumą naujomis autentifikavimo funkcijomis, kenkėjiški veikėjai galbūt perkelia savo dėmesį į kitas saugyklas, kaip pavyzdys yra Luna Grabber buvimas npm.