Luna Grabber 針對 Roblox 用戶的數據竊取惡意軟件

一個令人擔憂的網絡威脅已經出現，目標是 Roblox 社區內的開發人員。 ReversingLabs 的研究人員發現了一項惡意活動，涉及分發名為“Luna Grabber”的數據竊取惡意軟件。該惡意軟件已被注入 Roblox 開發人員常用的十多個開源軟件包中，凸顯了這種網絡攻擊的複雜性。

該攻擊的方法是多方面的，依靠拼寫錯誤搶注和高級混淆技術等策略來引誘用戶下載 npm（著名的開源軟件存儲庫）上託管的廣泛使用的軟件的假冒版本。這些偽造的軟件包雖然仍然包含開發人員尋求的真實代碼，但隱藏著多階段惡意軟件攻擊，能夠在各種數字平台（包括 Web 瀏覽器和 Discord 應用程序）上部署 Luna Grabber。

Luna 抓取器檢測

Luna Grabber 的首次檢測是在 ReversingLabs 對 npm 的例行監控期間進行的。發現了一個可疑包“nobox.js-vps”，它公然偽裝成合法的 Roblox API 包裝器。該活動的主要目標是收集信息，這是未來潛在攻擊的寶庫。 Luna Grabber 本質上充當“交鑰匙”開源惡意軟件工具，生成用於網絡釣魚和供應鏈攻擊的惡意可執行文件，特別注重從目標開發人員中提取敏感數據。

Npm 作為世界上最大的開源軟件存儲庫之一，為網絡攻擊者提供了充足的機會。然而，到目前為止，該活動的影響相對有限，只有不到 1,000 名用戶成為眾多受損軟件包的受害者。儘管許多已識別的軟件包已被刪除，但該活動的持續性仍然令人擔憂。

Roblox 是一個在線遊戲平台，使用戶能夠創建虛擬世界和體驗，其受歡迎程度呈爆炸性增長，尤其是在 COVID-19 大流行期間。目前，它擁有超過 6600 萬日活躍用戶和 2.14 億月活躍用戶。不幸的是，這種興趣的激增也引起了惡意行為者的注意。 2021 年，類似的涉及“nobox.js”拼寫錯誤的方法被用來向 Roblox 社區內毫無戒心的受害者發送勒索軟件。

ReversingLabs 威脅情報倡導總監 Ashlee Benge 指出了 Roblox 開發者社區中一個令人擔憂的漏洞。與大型企業實體的開發人員不同，這些人在評估他們使用的第三方庫的安全性時可能缺乏安全意識和成熟度。這種知識差距使他們成為尋求利用漏洞的網絡犯罪分子的理想目標。

有趣的是，這次攻擊使用 npm 作為多階段惡意軟件攻擊的載體，標誌著與常態的背離。傳統上，此類攻擊在 PyPi 等其他開源庫中更為普遍。然而，隨著這些庫通過新的身份驗證功能增強了安全性，惡意行為者可能會將注意力轉移到其他存儲庫，npm 上的 Luna Grabber 就是一個例子。