Luna Grabber kradnący dane złośliwe oprogramowanie, którego celem są użytkownicy Roblox

Pojawiło się niepokojące zagrożenie cybernetyczne, którego celem są programiści ze społeczności Roblox. Badacze z ReversingLabs odkryli złośliwą kampanię polegającą na dystrybucji szkodliwego oprogramowania o nazwie „Luna Grabber” kradnącego dane. To złośliwe oprogramowanie zostało wstrzyknięte do kilkunastu pakietów oprogramowania typu open source powszechnie używanych przez twórców Roblox, co podkreśla wyrafinowanie tego cyberataku.

Metodologia ataku jest wieloaspektowa i opiera się na taktykach, takich jak literówka i zaawansowane techniki zaciemniania, aby zwabić użytkowników do pobrania fałszywych wersji powszechnie używanego oprogramowania hostowanego w npm, renomowanym repozytorium oprogramowania typu open source. Te fałszywe pakiety, choć nadal zawierają autentyczny kod, którego szukają programiści, stanowią wieloetapowy atak złośliwego oprogramowania, który może wdrożyć Luna Grabber na różnych platformach cyfrowych, w tym w przeglądarkach internetowych i aplikacjach Discord.

Wykrywanie chwytaka Luny

Początkowe wykrycie Luny Grabber miało miejsce podczas rutynowego monitorowania npm przez ReversingLabs. Zidentyfikowano podejrzany pakiet „nobox.js-vps”, rażąco udający legalne opakowanie API Roblox. Głównym celem tej kampanii jest zebranie informacji, które stanowią skarbnicę potencjalnych przyszłych ataków. Luna Grabber zasadniczo działa jako „gotowe” narzędzie do usuwania złośliwego oprogramowania o otwartym kodzie źródłowym, generujące złośliwe pliki wykonywalne wykorzystywane w atakach typu phishing i na łańcuch dostaw, ze szczególnym naciskiem na wydobywanie wrażliwych danych od docelowych programistów.

Npm, jako jedno z największych na świecie repozytoriów oprogramowania typu open source, zapewnia cyberprzestępcom szerokie możliwości. Jednak jak dotąd kampania ta miała stosunkowo ograniczony wpływ – ofiarami licznych zainfekowanych pakietów oprogramowania padło mniej niż 1000 użytkowników. Chociaż wiele ze zidentyfikowanych pakietów zostało usuniętych, trwałość kampanii pozostaje problemem.

Roblox, platforma gier online umożliwiająca użytkownikom tworzenie wirtualnych światów i doświadczeń, odnotowała gwałtowny wzrost popularności, szczególnie podczas pandemii Covid-19. Obecnie może pochwalić się ponad 66 milionami aktywnych użytkowników dziennie i 214 milionami aktywnych użytkowników miesięcznie. Niestety, ten wzrost zainteresowania przyciągnął także uwagę złośliwych podmiotów. W 2021 r. podobne podejście polegające na typosquattingu w „nobox.js” zostało zastosowane w celu dostarczenia oprogramowania ransomware niczego niepodejrzewającym ofiarom w społeczności Roblox.

Ashlee Benge, dyrektor ds. wspierania analizy zagrożeń w ReversingLabs, zwróciła uwagę na niepokojącą lukę w zabezpieczeniach społeczności programistów Roblox. W przeciwieństwie do programistów pracujących dla większych podmiotów korporacyjnych, osobom tym może brakować świadomości bezpieczeństwa i wyrafinowania, jeśli chodzi o ocenę bezpieczeństwa bibliotek stron trzecich, z których korzystają. Ta luka w wiedzy czyni je idealnymi celami dla cyberprzestępców chcących wykorzystać luki w zabezpieczeniach.

Co ciekawe, atak ten oznacza odejście od normy poprzez wykorzystanie npm jako wektora dla wieloetapowych ataków złośliwym oprogramowaniem. Tradycyjnie takie ataki były częstsze w przypadku innych bibliotek typu open source, takich jak PyPi. Jednakże w miarę jak biblioteki te zwiększały swoje bezpieczeństwo dzięki nowym funkcjom uwierzytelniania, szkodliwi przestępcy prawdopodobnie przenoszą swoją uwagę na inne repozytoria, czego przykładem jest obecność Luny Grabber na npm.