Luna Grabber Datastjäl skadlig programvara som riktar sig till Roblox-användare
Ett oroande cyberhot har dykt upp, riktat mot utvecklare inom Roblox-gemenskapen. Forskare från ReversingLabs har avslöjat en skadlig kampanj som involverar distribution av skadlig programvara som stjäl data med namnet "Luna Grabber". Denna skadliga programvara har injicerats i över ett dussin mjukvarupaket med öppen källkod som vanligtvis används av Roblox-utvecklare, vilket understryker den sofistikerade cyberattacken.
Attackens metod är mångfacetterad, och förlitar sig på taktik som stavfel och avancerade fördunklingstekniker för att locka användare att ladda ner förfalskade versioner av mycket använd programvara som är värd på npm, ett välkänt program med öppen källkod. Dessa falska paket, även om de fortfarande innehåller autentisk kod som utvecklare söker, hyser en skadlig programvara i flera steg som kan distribuera Luna Grabber över olika digitala plattformar, inklusive webbläsare och Discord-applikationer.
Luna Grabber Detektion
Den första upptäckten av Luna Grabber kom under ReversingLabs rutinmässiga övervakning av npm. Ett misstänkt paket, "nobox.js-vps," identifierades, uppenbart maskerat som ett legitimt Roblox API-omslag. Kampanjens primära mål är att samla information, en skattkammare för potentiella framtida attacker. Luna Grabber fungerar i huvudsak som ett "nyckelfärdigt" skadlig programvara med öppen källkod, som genererar skadliga körbara filer som används i nätfiske- och supply chain-attacker, med särskilt fokus på att extrahera känslig data från riktade utvecklare.
Npm, som en av världens största programvaruförråd med öppen källkod, ger stora möjligheter för cyberangripare. Denna kampanj har dock haft en relativt begränsad effekt hittills, med mindre än 1 000 användare som fallit offer för de många komprometterade mjukvarupaketen. Även om många av dessa identifierade paket har tagits bort, är kampanjens uthållighet fortfarande ett problem.
Roblox, en onlinespelplattform som gör det möjligt för användare att skapa virtuella världar och upplevelser, har sett en explosiv tillväxt i popularitet, särskilt under covid-19-pandemin. Den har nu över 66 miljoner dagliga aktiva användare och 214 miljoner aktiva användare varje månad. Tyvärr har detta ökade intresse också uppmärksammats av illvilliga aktörer. År 2021 användes ett liknande tillvägagångssätt som involverade typosquatting på "nobox.js" för att leverera ransomware till intet ont anande offer inom Roblox-gemenskapen.
Ashlee Benge, chef för Threat Intelligence Advocacy på ReversingLabs, påpekade en oroande sårbarhet inom Roblox-utvecklargemenskapen. Till skillnad från utvecklare för större företagsenheter kan dessa individer sakna säkerhetsmedvetenhet och sofistikering när det gäller att utvärdera säkerheten hos tredjepartsbibliotek de använder. Denna kunskapslucka gör dem till idealiska mål för cyberkriminella som vill utnyttja sårbarheter.
Intressant nog markerar denna attack ett avsteg från normen genom att använda npm som vektor för skadliga attacker i flera steg. Traditionellt har sådana attacker varit vanligare i andra bibliotek med öppen källkod, som PyPi. Men eftersom dessa bibliotek har förstärkt sin säkerhet med nya autentiseringsfunktioner, flyttar illvilliga aktörer möjligen sitt fokus till andra förråd, exemplifierat av Luna Grabbers närvaro på npm.