A Luna Grabber Malware a Roblox Gaming Devs-t célozza meg

E hónap eleje óta a ReversingLabs kutatói egy sor rosszindulatú, többlépcsős csomagot találtak az npm nyilvános adattárában, amelyek a Luna Grabber néven ismert nyílt forráskódú, információlopó kártevőt ültetik be.

Az áldozatok megfertőzése érdekében a csomagok egy legitim csomagot utánoznak, például a noblox.js-t – „egy Node.js Roblox API burkolóanyagot, amelyet olyan szkriptek írására használnak, amelyek kölcsönhatásba lépnek Roblox játékplatform”, derül ki a ReversingLabs kampányról készült elemzéséből. A rosszindulatú csomagok a törvényes csomag kódját reprodukálják, de információlopó funkciókat adnak a keverékhez. 

A végül a Roblox platformon futó szkriptek fejlesztői így akaratlanul is áldozatul eshetnek a Luna Grabbernek, amely egy „nyílt forráskódú rosszindulatú program, amelyet arra terveztek, hogy információkat lopjon a felhasználó helyi webböngészőjéből, a Discord alkalmazásból és egyebekből” – állítja a ReversingLabs.

A kutatók találkoztak először az ilyen típusú kampányokat miközben figyeli a npm nyilvános adattár, és a noblox.js-vps volt az első rosszindulatú csomag, amellyel találkoztak. A csomag gyanús viselkedéseket jelenített meg, például parancsok végrehajtását a parancssorban, olyan URL-eket tartalmazott, amelyek Discord-mellékletekre hivatkoztak, fájlok felsorolását egy adott könyvtárban és felhasználói információk felsorolását, többek között. Azóta a ReversingLabs kutatói más, hasonló rosszindulatú csomagokat is azonosítottak, mint például a noblox.js-ssh és a noblox.js-secure.

"Bár a noblox.js-vps és más rosszindulatú csomagok hatása ebben a kampányban nem volt nagy, ez emlékezteti a biztonsági és szoftverfejlesztő csapatokat, hogy a fenyegetések folyamatosan leselkednek a nyílt forráskódú adattárakba, így meg kell választani, hogy melyik csomagot tartalmazza. a fejlesztési folyamat kritikus” – írták a kutatók.