Luna Grabber 악성코드, Roblox 게임 개발자를 표적으로 삼다

이번 달 초부터 ReversingLabs의 연구원들은 Luna Grabber로 알려진 오픈 소스 정보 도용 악성 코드를 심는 npm 공개 저장소에서 다수의 악성 다단계 패키지를 발견했습니다.

피해자를 감염시키기 위해 패키지는 noblox.js와 같은 합법적인 패키지를 모방합니다. Roblox 게임 플랫폼” 캠페인에 대한 ReversingLabs 분석에 따르면. 악성 패키지는 합법적인 패키지의 코드를 복제하지만 정보 도용 기능을 추가합니다. 

따라서 Roblox 플랫폼에서 실행되는 스크립트 개발자는 자신도 모르게 Luna Grabber의 희생양이 될 수 있습니다. 이는 ReversingLabs에 따르면 "사용자의 로컬 웹 브라우저, Discord 애플리케이션 등에서 정보를 훔치도록 설계된 오픈 소스 악성 코드"입니다.

연구진이 처음으로 발견한 것은 이러한 유형의 캠페인 모니터링하면서 npm 공개 저장소, 그리고 noblox.js-vps는 그들이 발생한 최초의 악성 패키지였습니다. 이 패키지는 명령줄에서 명령 실행, Discord 첨부 파일에 연결된 URL 포함, 특정 디렉터리의 파일 열거, 사용자 정보 열거 등의 의심스러운 동작을 표시했습니다. 그 이후로 ReversingLabs 연구원들은 noblox.js-ssh 및 noblox.js-secure와 같은 유사한 다른 악성 패키지도 식별했습니다.

“이 캠페인에서 noblox.js-vps 및 기타 악성 패키지의 영향이 크지는 않았지만 오픈 소스 저장소에 위협이 지속적으로 숨어 있어 어떤 패키지를 포함할지 선택해야 한다는 점을 보안 및 소프트웨어 개발 팀에 상기시켜 줍니다. 개발 프로세스가 중요합니다.”라고 연구원들은 썼습니다.