Το κακόβουλο λογισμικό Luna Grabber στοχεύει τους προγραμματιστές παιχνιδιών Roblox

Από την αρχή αυτού του μήνα, οι ερευνητές στο ReversingLabs έχουν βρει μια σειρά από κακόβουλα πακέτα πολλαπλών σταδίων στο δημόσιο αποθετήριο npm που εμφυτεύουν ένα κακόβουλο λογισμικό ανοιχτού κώδικα, που κλέβει πληροφορίες, γνωστό ως Luna Grabber.

Για να μολύνουν τα θύματά του, τα πακέτα μιμούνται ένα νόμιμο πακέτο, όπως το noblox.js — «ένα περιτύλιγμα Node.js Roblox API που χρησιμοποιείται για τη σύνταξη σεναρίων που αλληλεπιδρούν με το Πλατφόρμα παιχνιδιών Roblox», σύμφωνα με μια ανάλυση της ReversingLabs για την καμπάνια. Τα κακόβουλα πακέτα αναπαράγουν κώδικα από το νόμιμο πακέτο, αλλά προσθέτουν λειτουργίες κλοπής πληροφοριών στο μείγμα. 

Οι προγραμματιστές των σεναρίων που τελικά εκτελούνται στην πλατφόρμα Roblox θα μπορούσαν έτσι άθελά τους να πέσουν θύματα του Luna Grabber, το οποίο είναι ένα «κακόβουλο λογισμικό ανοιχτού κώδικα που έχει σχεδιαστεί για να κλέβει πληροφορίες από το τοπικό πρόγραμμα περιήγησης ιστού του χρήστη, την εφαρμογή Discord και πολλά άλλα», σύμφωνα με το ReversingLabs.

Οι ερευνητές κατέληξαν αρχικά αυτού του είδους οι καμπάνιες κατά την παρακολούθηση των npm δημόσιο αποθετήριο, και το noblox.js-vps ήταν το πρώτο κακόβουλο πακέτο στο οποίο συνέβησαν. Το πακέτο εμφάνιζε ύποπτες συμπεριφορές, όπως εκτέλεση εντολών στη γραμμή εντολών, που περιείχε διευθύνσεις URL που συνδέονταν με συνημμένα Discord, απαρίθμηση αρχείων σε έναν δεδομένο κατάλογο και απαρίθμηση πληροφοριών χρήστη, μεταξύ άλλων ενεργειών. Έκτοτε, οι ερευνητές της ReversingLabs έχουν επίσης εντοπίσει άλλα κακόβουλα πακέτα παρόμοια, όπως το noblox.js-ssh και το noblox.js-secure.

«Αν και ο αντίκτυπος του noblox.js-vps και άλλων κακόβουλων πακέτων σε αυτήν την καμπάνια δεν ήταν υψηλός, είναι μια υπενθύμιση στις ομάδες ασφάλειας και ανάπτυξης λογισμικού ότι οι απειλές παραμονεύουν συνεχώς σε αποθετήρια ανοιχτού κώδικα, επιλέγοντας ποιο πακέτο θα συμπεριλάβουν η διαδικασία ανάπτυξης είναι κρίσιμη», έγραψαν οι ερευνητές.