Luna Grabber-Malware zielt auf Roblox-Gaming-Entwickler ab

Seit Anfang dieses Monats haben Forscher von ReversingLabs eine Vielzahl bösartiger, mehrstufiger Pakete im öffentlichen npm-Repository gefunden, die eine Open-Source-Malware zum Diebstahl von Informationen namens Luna Grabber implantieren.

Um ihre Opfer zu infizieren, imitieren die Pakete ein legitimes Paket wie noblox.js – „ein Node.js-Roblox-API-Wrapper, der zum Schreiben von Skripten verwendet wird, die mit dem interagieren.“ Roblox-Gaming-Plattform“, so eine ReversingLabs-Analyse der Kampagne. Die bösartigen Pakete reproduzieren Code aus dem legitimen Paket, fügen dem Mix jedoch Funktionen zum Informationsdiebstahl hinzu. 

Entwickler der Skripte, die letztendlich auf der Roblox-Plattform ausgeführt werden, könnten somit unabsichtlich Opfer von Luna Grabber werden, einer „Open-Source-Malware, die entwickelt wurde, um Informationen aus dem lokalen Webbrowser, der Discord-Anwendung und mehr des Benutzers zu stehlen“, so ReversingLabs.

Die Forscher stießen zuerst darauf diese Art von Kampagnen während der Überwachung der öffentliches npm-Repository, und noblox.js-vps war das erste bösartige Paket, auf das sie stießen. Das Paket zeigte verdächtige Verhaltensweisen, wie zum Beispiel das Ausführen von Befehlen in der Befehlszeile, das Enthalten von URLs, die auf Discord-Anhänge verlinkten, das Auflisten von Dateien in einem bestimmten Verzeichnis und das Auflisten von Benutzerinformationen und andere Aktionen. Seitdem haben Forscher von ReversingLabs auch andere Schadpakete identifiziert, die ähnlich sind, etwa noblox.js-ssh und noblox.js-secure.

„Auch wenn die Auswirkungen von noblox.js-vps und anderen Schadpaketen in dieser Kampagne nicht groß waren, ist es eine Erinnerung an Sicherheits- und Softwareentwicklungsteams, dass in Open-Source-Repositorys ständig Bedrohungen lauern, was die Entscheidung, welches Paket aufgenommen werden soll, erschwert „Der Entwicklungsprozess ist entscheidend“, schreiben die Forscher.