Luna Grabber マルウェアが Roblox ゲーム開発者を標的に

今月初め以来、ReversingLabs の研究者らは、Luna Grabber として知られるオープンソースの情報窃取マルウェアを埋め込む悪意のある多段階パッケージを npm パブリック リポジトリ上で発見しました。

被害者を感染させるために、パッケージは noblox.js などの正規のパッケージを模倣します。これは、noblox と対話するスクリプトを記述するために使用される Node.js Roblox API ラッパーです。 Roblox ゲーム プラットフォームこのキャンペーンに関するReversingLabsの分析によると」。 悪意のあるパッケージは正規のパッケージからコードを複製しますが、情報を盗む機能がこれに追加されます。 

したがって、最終的に Roblox プラットフォーム上で実行されるスクリプトの開発者は、知らず知らずのうちに、「ユーザーのローカル Web ブラウザや Discord アプリケーションなどから情報を盗むように設計されたオープンソース マルウェア」である Luna Grabber の餌食になる可能性があると ReversingLabs は述べています。

研究者たちが最初に発見したのは、 こういったタイプのキャンペーン を監視しながら npmパブリックリポジトリnoblox.js-vps は、彼らが遭遇した最初の悪意のあるパッケージでした。 このパッケージは、コマンド ラインでのコマンドの実行、Discord の添付ファイルにリンクする URL を含むコマンドの実行、特定のディレクトリ内のファイルの列挙、ユーザー情報の列挙などの不審な動作を示しました。 それ以来、ReversingLabs の研究者は、noblox.js-ssh や noblox.js-secure など、同様の他の悪意のあるパッケージも特定しました。

「このキャンペーンにおける noblox.js-vps やその他の悪意のあるパッケージの影響は大きくありませんでしたが、これはセキュリティ チームとソフトウェア開発チームに、脅威が常にオープンソース リポジトリに潜んでいるため、どのパッケージに含めるかを選択する必要があることを思い出させます。開発プロセスは極めて重要だ」と研究者らは書いている。