Вредоносное ПО Luna Grabber нацелено на разработчиков игр Roblox

С начала этого месяца исследователи из ReversingLabs обнаружили в общедоступном репозитории npm множество вредоносных многоэтапных пакетов, которые внедряют вредоносное ПО с открытым исходным кодом, крадущее информацию, известное как Luna Grabber.

Чтобы заразить своих жертв, пакеты имитируют законный пакет, например noblox.js — «оболочку Node.js Roblox API, используемую для написания скриптов, которые взаимодействуют с игровая платформа Роблокс», согласно анализу кампании ReversingLabs. Вредоносные пакеты воспроизводят код легитимного пакета, но добавляют к этому функции кражи информации. 

Таким образом, разработчики скриптов, которые в конечном итоге запускаются на платформе Roblox, могут невольно стать жертвой Luna Grabber, которая представляет собой «вредоносное ПО с открытым исходным кодом, предназначенное для кражи информации из локального веб-браузера пользователя, приложения Discord и т. д.», согласно данным ReversingLabs.

Исследователи впервые столкнулись эти типы кампаний при мониторинге публичный репозиторий npm, и noblox.js-vps был первым вредоносным пакетом, с которым они столкнулись. Пакет демонстрировал подозрительное поведение, например, выполнение команд в командной строке, содержащих URL-адреса, связанные с вложениями Discord, перечисление файлов в заданном каталоге и перечисление информации о пользователе, а также другие действия. С тех пор исследователи ReversingLabs также выявили другие похожие вредоносные пакеты, такие как noblox.js-ssh и noblox.js-secure.

«Несмотря на то, что влияние noblox.js-vps и других вредоносных пакетов в этой кампании было невелико, это напоминание командам безопасности и разработчиков программного обеспечения о том, что угрозы постоянно скрываются в репозиториях с открытым исходным кодом, что заставляет выбирать, какой пакет включить в процесс разработки критически важен», — написали исследователи.