Вредоносное ПО Luna Grabber, кражущее данные и нацеленное на пользователей Roblox
Появилась тревожная киберугроза, нацеленная на разработчиков в сообществе Roblox. Исследователи из ReversingLabs раскрыли вредоносную кампанию по распространению вредоносного ПО для кражи данных под названием Luna Grabber. Это вредоносное ПО было внедрено в более чем дюжину пакетов программного обеспечения с открытым исходным кодом, обычно используемых разработчиками Roblox, что подчеркивает сложность этой кибератаки.
Методика атаки многогранна: она опирается на такие тактики, как опечатка и передовые методы запутывания, чтобы побудить пользователей загружать поддельные версии широко используемого программного обеспечения, размещенного в npm, известном репозитории программного обеспечения с открытым исходным кодом. Эти фиктивные пакеты, хотя и содержат подлинный код, который ищут разработчики, таят в себе многоэтапную атаку вредоносного ПО, способную развернуть Luna Grabber на различных цифровых платформах, включая веб-браузеры и приложения Discord.
Обнаружение лунного захвата
Первоначальное обнаружение Luna Grabber произошло во время планового мониторинга npm, проведенного ReversingLabs. Был идентифицирован подозрительный пакет nobox.js-vps, явно маскирующийся под законную оболочку API Roblox. Основная цель этой кампании — сбор информации, сокровищницы для потенциальных будущих атак. Luna Grabber, по сути, действует как вредоносный инструмент с открытым исходным кодом «под ключ», генерирующий вредоносные исполняемые файлы, используемые в фишинговых атаках и атаках на цепочки поставок, уделяя особое внимание извлечению конфиденциальных данных от целевых разработчиков.
Npm, как один из крупнейших в мире репозиториев программного обеспечения с открытым исходным кодом, предоставляет широкие возможности киберзлоумышленникам. Однако до сих пор эта кампания имела относительно ограниченный эффект: жертвами многочисленных скомпрометированных пакетов программного обеспечения стали менее 1000 пользователей. Хотя многие из этих выявленных пакетов были удалены, устойчивость кампании по-прежнему вызывает беспокойство.
Roblox, игровая онлайн-платформа, позволяющая пользователям создавать виртуальные миры и впечатления, приобрела взрывной рост популярности, особенно во время пандемии COVID-19. Сейчас он может похвастаться более чем 66 миллионами активных пользователей в день и 214 миллионами активных пользователей в месяц. К сожалению, этот всплеск интереса также привлек внимание злоумышленников. В 2021 году аналогичный подход, включающий опечатку в «nobox.js», использовался для доставки программы-вымогателя ничего не подозревающим жертвам в сообществе Roblox.
Эшли Бендж, директор по защите информации об угрозах в ReversingLabs, указала на тревожную уязвимость в сообществе разработчиков Roblox. В отличие от разработчиков более крупных корпораций, этим людям может не хватать знаний и опыта в области безопасности, когда дело доходит до оценки безопасности сторонних библиотек, которые они используют. Этот пробел в знаниях делает их идеальной мишенью для киберпреступников, желающих воспользоваться уязвимостями.
Интересно, что эта атака знаменует собой отклонение от нормы, поскольку npm используется в качестве вектора для многоэтапных атак вредоносного ПО. Традиционно такие атаки были более распространены в других библиотеках с открытым исходным кодом, таких как PyPi. Однако, поскольку эти библиотеки усилили свою безопасность за счет новых функций аутентификации, злоумышленники, возможно, переключают свое внимание на другие репозитории, примером чего является присутствие Luna Grabber на npm.
