Luna Grabber 针对 Roblox 用户的数据窃取恶意软件

一个令人担忧的网络威胁已经出现，目标是 Roblox 社区内的开发人员。 ReversingLabs 的研究人员发现了一项恶意活动，涉及分发名为“Luna Grabber”的数据窃取恶意软件。该恶意软件已被注入 Roblox 开发人员常用的十多个开源软件包中，凸显了这种网络攻击的复杂性。

该攻击的方法是多方面的，依靠拼写错误抢注和高级混淆技术等策略来引诱用户下载 npm（著名的开源软件存储库）上托管的广泛使用的软件的假冒版本。这些伪造的软件包虽然仍然包含开发人员寻求的真实代码，但隐藏着多阶段恶意软件攻击，能够在各种数字平台（包括 Web 浏览器和 Discord 应用程序）上部署 Luna Grabber。

Luna 抓取器检测

Luna Grabber 的首次检测是在 ReversingLabs 对 npm 的例行监控期间进行的。发现了一个可疑包“nobox.js-vps”，它公然伪装成合法的 Roblox API 包装器。该活动的主要目标是收集信息，这是未来潜在攻击的宝库。 Luna Grabber 本质上充当“交钥匙”开源恶意软件工具，生成用于网络钓鱼和供应链攻击的恶意可执行文件，特别注重从目标开发人员中提取敏感数据。

Npm 作为世界上最大的开源软件存储库之一，为网络攻击者提供了充足的机会。然而，到目前为止，该活动的影响相对有限，只有不到 1,000 名用户成为众多受损软件包的受害者。尽管许多已识别的软件包已被删除，但该活动的持续性仍然令人担忧。

Roblox 是一个在线游戏平台，使用户能够创建虚拟世界和体验，其受欢迎程度呈爆炸性增长，尤其是在 COVID-19 大流行期间。目前，它拥有超过 6600 万日活跃用户和 2.14 亿月活跃用户。不幸的是，这种兴趣的激增也引起了恶意行为者的注意。 2021 年，类似的涉及“nobox.js”拼写错误的方法被用来向 Roblox 社区内毫无戒心的受害者发送勒索软件。

ReversingLabs 威胁情报倡导总监 Ashlee Benge 指出了 Roblox 开发者社区中一个令人担忧的漏洞。与大型企业实体的开发人员不同，这些人在评估他们使用的第三方库的安全性时可能缺乏安全意识和成熟度。这种知识差距使他们成为寻求利用漏洞的网络犯罪分子的理想目标。

有趣的是，这次攻击使用 npm 作为多阶段恶意软件攻击的载体，标志着与常态的背离。传统上，此类攻击在 PyPi 等其他开源库中更为普遍。然而，随着这些库通过新的身份验证功能增强了安全性，恶意行为者可能会将注意力转移到其他存储库，npm 上的 Luna Grabber 就是一个例子。