Luna Grabber datastelende malware gericht op Roblox-gebruikers

Er is een zorgwekkende cyberdreiging opgedoken, gericht op ontwikkelaars binnen de Roblox-gemeenschap. Onderzoekers van ReversingLabs hebben een kwaadaardige campagne ontdekt die betrekking heeft op de verspreiding van gegevensstelende malware genaamd 'Luna Grabber'. Deze malware is geïnjecteerd in meer dan een dozijn open-source softwarepakketten die vaak worden gebruikt door Roblox-ontwikkelaars, wat de verfijning van deze cyberaanval onderstreept.

De methodologie van de aanval is veelzijdig en berust op tactieken als typefoutkraken en geavanceerde verduisteringstechnieken om gebruikers ertoe te verleiden valse versies te downloaden van veelgebruikte software die wordt gehost op npm, een gerenommeerde open-source softwareopslagplaats. Hoewel deze valse pakketten nog steeds de authentieke code bevatten waar ontwikkelaars naar op zoek zijn, herbergen ze een meerfasige malware-aanval die Luna Grabber op verschillende digitale platforms kan inzetten, waaronder webbrowsers en Discord-applicaties.

Luna Grabber-detectie

De eerste detectie van Luna Grabber vond plaats tijdens de routinematige monitoring van npm door ReversingLabs. Er werd een verdacht pakket, "nobox.js-vps", geïdentificeerd, dat zich schaamteloos voordeed als een legitieme Roblox API-wrapper. Het primaire doel van deze campagne is het verzamelen van informatie, een schatkamer voor mogelijke toekomstige aanvallen. Luna Grabber fungeert in wezen als een kant-en-klare open-source malwaretool, die kwaadaardige uitvoerbare bestanden genereert die worden gebruikt bij phishing- en supply chain-aanvallen, met een bijzondere nadruk op het extraheren van gevoelige gegevens van gerichte ontwikkelaars.

Npm biedt als een van 's werelds grootste open-sourcesoftwareopslagplaatsen volop mogelijkheden voor cyberaanvallers. Deze campagne heeft tot nu toe echter een relatief beperkte impact gehad: minder dan 1.000 gebruikers zijn het slachtoffer geworden van de talrijke gecompromitteerde softwarepakketten. Hoewel veel van deze geïdentificeerde pakketten zijn verwijderd, blijft het voortbestaan van de campagne een punt van zorg.

Roblox, een online gamingplatform waarmee gebruikers virtuele werelden en ervaringen kunnen creëren, heeft een explosieve groei in populariteit gekend, vooral tijdens de COVID-19-pandemie. Het beschikt nu over meer dan 66 miljoen dagelijks actieve gebruikers en 214 miljoen maandelijks actieve gebruikers. Helaas heeft deze toename van de belangstelling ook de aandacht getrokken van kwaadwillende actoren. In 2021 werd een soortgelijke aanpak, waarbij typosquatting op "nobox.js" werd gebruikt, gebruikt om ransomware te bezorgen aan nietsvermoedende slachtoffers binnen de Roblox-gemeenschap.

Ashlee Benge, directeur Threat Intelligence Advocacy bij ReversingLabs, wees op een zorgwekkende kwetsbaarheid binnen de Roblox-ontwikkelaarsgemeenschap. In tegenstelling tot ontwikkelaars voor grotere bedrijfsentiteiten, ontbreekt het deze personen mogelijk aan beveiligingsbewustzijn en verfijning als het gaat om het evalueren van de veiligheid van bibliotheken van derden die zij gebruiken. Deze kenniskloof maakt ze tot ideale doelwitten voor cybercriminelen die kwetsbaarheden willen misbruiken.

Interessant genoeg markeert deze aanval een afwijking van de norm door npm te gebruiken als vector voor malware-aanvallen in meerdere fasen. Traditioneel komen dergelijke aanvallen vaker voor in andere open-sourcebibliotheken, zoals PyPi. Nu deze bibliotheken hun beveiliging echter hebben versterkt met nieuwe authenticatiefuncties, verleggen kwaadwillende actoren mogelijk hun aandacht naar andere repository's, zoals blijkt uit de aanwezigheid van Luna Grabber op npm.