Luna Grabber Data-Stealing Malware rettet mot Roblox-brukere
En bekymringsfull cybertrussel har dukket opp, rettet mot utviklere i Roblox-fellesskapet. Forskere fra ReversingLabs har avdekket en ondsinnet kampanje som involverer distribusjon av skadelig programvare som stjeler data kalt «Luna Grabber». Denne skadelige programvaren har blitt injisert i over et dusin åpen kildekode-programvare som vanligvis brukes av Roblox-utviklere, noe som understreker det sofistikerte ved dette cyberangrepet.
Angrepets metodikk er mangefasettert, og baserer seg på taktikk som skrivefeil på huk og avanserte tilsløringsteknikker for å lokke brukere til å laste ned forfalskede versjoner av mye brukt programvare som er vert på npm, et kjent programvarelager med åpen kildekode. Disse falske pakkene, mens de fortsatt inneholder autentisk kode som utviklere søker, inneholder et flertrinns malwareangrep som er i stand til å distribuere Luna Grabber på tvers av ulike digitale plattformer, inkludert nettlesere og Discord-applikasjoner.
Luna Grabber-deteksjon
Den første oppdagelsen av Luna Grabber kom under ReversingLabs rutinemessige overvåking av npm. En mistenkelig pakke, «nobox.js-vps», ble identifisert, åpenbart maskert som en legitim Roblox API-innpakning. Denne kampanjens primære mål er å høste informasjon, en skattekiste for potensielle fremtidige angrep. Luna Grabber fungerer i hovedsak som et 'nøkkelferdig' åpen kildekode-skadevareverktøy, og genererer ondsinnede kjørbare filer som brukes i phishing- og forsyningskjedeangrep, med et spesielt fokus på å trekke ut sensitive data fra målrettede utviklere.
Npm, som et av verdens største programvarelager med åpen kildekode, gir store muligheter for cyberangripere. Denne kampanjen har imidlertid hatt en relativt begrenset effekt så langt, med mindre enn 1000 brukere som ble ofre på tvers av de mange kompromitterte programvarepakkene. Selv om mange av disse identifiserte pakkene er fjernet, er kampanjens utholdenhet fortsatt en bekymring.
Roblox, en online spillplattform som gjør det mulig for brukere å skape virtuelle verdener og opplevelser, har sett en eksplosiv vekst i popularitet, spesielt under COVID-19-pandemien. Den har nå over 66 millioner daglige aktive brukere og 214 millioner månedlige aktive brukere. Dessverre har denne økningen i interesse også tiltrukket seg oppmerksomheten til ondsinnede aktører. I 2021 ble en lignende tilnærming som involverer skrivefeil på «nobox.js» brukt til å levere løsepengevare til intetanende ofre i Roblox-fellesskapet.
Ashlee Benge, direktør for Threat Intelligence Advocacy ved ReversingLabs, påpekte en bekymringsfull sårbarhet i Roblox-utviklermiljøet. I motsetning til utviklere for større bedriftsenheter, kan disse personene mangle sikkerhetsbevissthet og raffinement når det gjelder å evaluere sikkerheten til tredjepartsbiblioteker de bruker. Dette kunnskapsgapet gjør dem til ideelle mål for nettkriminelle som ønsker å utnytte sårbarheter.
Interessant nok markerer dette angrepet en avvik fra normen ved å bruke npm som vektor for flertrinns malware-angrep. Tradisjonelt har slike angrep vært mer utbredt i andre åpen kildekode-biblioteker, som PyPi. Imidlertid, ettersom disse bibliotekene har styrket sikkerheten med nye autentiseringsfunksjoner, flytter ondsinnede aktører muligens fokus til andre depoter, eksemplifisert ved Luna Grabbers tilstedeværelse på npm.