Malware de roubo de dados Luna Grabber direcionado a usuários Roblox
Surgiu uma ameaça cibernética preocupante, visando desenvolvedores da comunidade Roblox. Pesquisadores do ReversingLabs descobriram uma campanha maliciosa envolvendo a distribuição de malware para roubo de dados chamado “Luna Grabber”. Este malware foi injetado em mais de uma dúzia de pacotes de software de código aberto comumente usados por desenvolvedores Roblox, ressaltando a sofisticação deste ataque cibernético.
A metodologia do ataque é multifacetada, contando com táticas como typo-squatting e técnicas avançadas de ofuscação para atrair os usuários a baixar versões falsificadas de software amplamente utilizado hospedado no npm, um renomado repositório de software de código aberto. Esses pacotes falsos, embora ainda contenham código autêntico que os desenvolvedores procuram, abrigam um ataque de malware em vários estágios, capaz de implantar o Luna Grabber em várias plataformas digitais, incluindo navegadores da web e aplicativos Discord.
Detecção do Agarrador Luna
A detecção inicial do Luna Grabber ocorreu durante o monitoramento de rotina do npm do ReversingLabs. Um pacote suspeito, “nobox.js-vps”, foi identificado, disfarçado descaradamente como um wrapper legítimo da API Roblox. O objetivo principal desta campanha é coletar informações, um tesouro para possíveis ataques futuros. O Luna Grabber atua essencialmente como uma ferramenta de malware de código aberto “pronta para uso”, gerando executáveis maliciosos usados em ataques de phishing e à cadeia de suprimentos, com foco particular na extração de dados confidenciais de desenvolvedores visados.
O Npm, como um dos maiores repositórios de software de código aberto do mundo, oferece amplas oportunidades para invasores cibernéticos. No entanto, esta campanha teve um impacto relativamente limitado até agora, com menos de 1.000 utilizadores a serem vítimas dos numerosos pacotes de software comprometidos. Embora muitos destes pacotes identificados tenham sido removidos, a persistência da campanha continua a ser uma preocupação.
Roblox, uma plataforma de jogos online que permite aos usuários criar mundos e experiências virtuais, teve um crescimento explosivo em popularidade, especialmente durante a pandemia de COVID-19. Agora possui mais de 66 milhões de usuários ativos diários e 214 milhões de usuários ativos mensais. Infelizmente, este aumento de interesse também atraiu a atenção de agentes maliciosos. Em 2021, uma abordagem semelhante envolvendo typosquatting em “nobox.js” foi usada para entregar ransomware a vítimas inocentes na comunidade Roblox.
Ashlee Benge, Diretora de Defesa de Inteligência de Ameaças da ReversingLabs, apontou uma vulnerabilidade preocupante na comunidade de desenvolvedores Roblox. Ao contrário dos desenvolvedores de grandes entidades corporativas, esses indivíduos podem não ter conhecimento e sofisticação de segurança quando se trata de avaliar a segurança das bibliotecas de terceiros que utilizam. Esta lacuna de conhecimento torna-os alvos ideais para os cibercriminosos que procuram explorar vulnerabilidades.
Curiosamente, esse ataque marca um desvio da norma ao usar o npm como vetor para ataques de malware em vários estágios. Tradicionalmente, esses ataques têm sido mais prevalentes em outras bibliotecas de código aberto, como o PyPi. No entanto, à medida que estas bibliotecas reforçaram a sua segurança com novos recursos de autenticação, os agentes maliciosos estão possivelmente a mudar o seu foco para outros repositórios, exemplificado pela presença de Luna Grabber no npm.