Phần mềm độc hại Luna Grabber nhắm mục tiêu vào các nhà phát triển trò chơi Roblox

Kể từ đầu tháng này, các nhà nghiên cứu tại ReversingLabs đã tìm thấy một loạt các gói độc hại, nhiều tầng trên kho lưu trữ công cộng npm cấy một phần mềm độc hại đánh cắp thông tin nguồn mở có tên là Luna Grabber.

Để lây nhiễm cho nạn nhân, các gói này bắt chước một gói hợp pháp, chẳng hạn như noblox.js — “một trình bao bọc API Roblox của Node.js được sử dụng để viết các tập lệnh tương tác với Nền tảng chơi game Roblox,” theo phân tích của ReversingLabs về chiến dịch. Các gói độc hại sao chép mã từ gói hợp pháp nhưng thêm các chức năng đánh cắp thông tin vào danh sách kết hợp. 

Do đó, các nhà phát triển tập lệnh chạy trên nền tảng Roblox có thể vô tình trở thành con mồi của Luna Grabber, một “phần mềm độc hại nguồn mở được thiết kế để đánh cắp thông tin từ trình duyệt web cục bộ của người dùng, ứng dụng Discord, v.v.”, theo ReversingLabs.

Các nhà nghiên cứu lần đầu tiên tìm thấy những loại chiến dịch này trong khi giám sát kho lưu trữ công cộng npmvà noblox.js-vps là gói độc hại đầu tiên chúng gặp phải. Gói này hiển thị các hành vi đáng ngờ, chẳng hạn như thực thi các lệnh trong dòng lệnh, chứa các URL được liên kết với tệp đính kèm Discord, liệt kê các tệp trong một thư mục nhất định và liệt kê thông tin người dùng, cùng các hành động khác. Kể từ đó, các nhà nghiên cứu của ReversingLabs cũng đã xác định được các gói độc hại khác tương tự, chẳng hạn như noblox.js-ssh và noblox.js-secure.

“Mặc dù tác động của noblox.js-vps và các gói độc hại khác trong chiến dịch này không cao, nhưng đây là lời nhắc nhở đối với các nhóm phát triển phần mềm và bảo mật rằng các mối đe dọa thường xuyên ẩn nấp trong các kho lưu trữ nguồn mở, khiến việc chọn gói nào sẽ được đưa vào quá trình phát triển rất quan trọng,” các nhà nghiên cứu viết.