Luna Grabber

استهدف ممثل تهديد مجهول المطورين المشاركين في صياغة البرامج النصية لمنصة ألعاب Roblox ذات الشعبية الكبيرة. تمكن هذا الكيان التهديدي من اختراق أكثر من اثنتي عشرة حزمة برامج مفتوحة المصدر يستخدمها هؤلاء المطورون بشكل متكرر. تم التأكد من أن حزم npm التي تم التلاعب بها قد تم زرعها باستخدام برنامج ضار لجمع المعلومات يسمى Luna Grabber.

تستخدم هذه الحملة الهجومية استراتيجيات مثل وضع القرفصاء المطبعي ومجموعة من تقنيات التشويش المعقدة. يتم استخدامها لإغراء المستخدمين بتنزيل إصدارات مزيفة من البرامج شائعة الاستخدام عبر npm، وهي مكتبة برمجيات مفتوحة المصدر مشهورة. على الرغم من أن هذه الحزم، في العديد من الحالات، لا تزال تحتوي على الكود الأصلي الذي يبحث عنه المطورون، إلا أنها تحتوي أيضًا على هجوم ضار متعدد المراحل. هذا الهجوم قادر على إطلاق العنان لـ Luna Grabber على جبهات مختلفة، بما في ذلك متصفح الويب الخاص بالضحية وتطبيق Discord والقنوات الأخرى.

يمكن لـ Luna Grabber جمع معلومات حساسة مختلفة من الأجهزة المخترقة

يعمل Luna Grabber كبرنامج تهديد لغرض واضح هو استخراج البيانات من متصفحات الويب وتطبيق Discord وتكوينات النظام المحلي. علاوة على ذلك، فهو يشتمل على سمات نموذجية شائعة في البرامج غير الآمنة، مثل القدرة على التعرف على تنفيذها داخل بيئة افتراضية وآلية التدمير الذاتي المتأصلة.

تتميز Luna Grabber بدرجة عالية من القدرة على التكيف. يتمتع المهاجمون بالمرونة اللازمة لتخصيص سلوكهم لتنفيذ مهام متنوعة. من خلال مجموعة أدوات المنشئ، يمكن لمجرمي الإنترنت تكوين Luna Grabber بسهولة لبدء التشغيل تلقائيًا عند بدء تشغيل الكمبيوتر. ويمكنه بعد ذلك جمع مجموعة من البيانات، بما في ذلك تفاصيل Wi-Fi وحتى رموز المصادقة الثنائية (2FA). علاوة على ذلك، يمكنه التعمق في تفاصيل ألعاب مثل Minecraft.

يؤدي وجود Luna Grabber إلى تهديدات كبيرة وأضرار محتملة. تم تصميم هذا البرنامج الخبيث بدقة شديدة لجمع البيانات الشخصية والحساسة وتسللها بصمت من مجموعة متنوعة من المصادر. ويشمل ذلك المعلومات المخزنة داخل متصفحات الويب، مما قد يعرض بيانات اعتماد تسجيل الدخول والسجلات المالية والمحادثات الخاصة والملفات الشخصية والمزيد للخطر. في الحالات التي يستخدم فيها الضحية تطبيق Discord، يقوم Luna Grabber بتوسيع نطاق وصوله لسرقة البيانات من هناك أيضًا. قد يؤدي هذا إلى كشف المناقشات الشخصية والمعلومات الحساسة.

علاوة على ذلك، فإن قدرة Luna Grabber على تحديد البيئات الافتراضية وآلية التدمير الذاتي المدمجة فيها تعكس مستوى من التطور يزيد من مقاومتها للكشف والإزالة. يمكن أن يؤدي هذا التطور إلى التعرض لفترات طويلة والتسرب المستمر للبيانات.

لقد كان Roblox هدفًا لهجمات البرامج الضارة من قبل

توصف Roblox بأنها منصة لألعاب الفيديو عبر الإنترنت، حيث، على غرار ألعاب مثل Minecraft، يمكن للمستخدمين بناء عوالم ومستويات افتراضية للآخرين للعب فيها. منذ جائحة كوفيد-19، زادت شعبيتها بشكل كبير، حيث تشير التقارير إلى أن اللعبة تفتخر حاليًا بعض أكثر من 60 مليون مستخدم نشط يوميًا وما يزيد عن 200 مليون مستخدم نشط شهريًا.

ليست حملة Luna Grabber هي المرة الأولى التي يتم فيها استهداف مطوري منصة الألعاب ذات الشعبية الكبيرة من قبل المتسللين. في عام 2021، استخدم طرف آخر مجهول أسلوبًا مشابهًا يشتمل على الأخطاء المطبعية في ملف noblox.js باعتباره ناقلًا لتوصيل برامج الفدية إلى الضحايا. قد يكون السبب هو أنه، على عكس العديد من الألعاب الشائعة الأخرى، من المرجح أن يكون المطور العادي الذي يصنع مستويات Roblox أصغر سنًا، وغير مرتبط بشركة أو كيان تجاري أكبر، وأقل تطوراً فيما يتعلق بالتهديدات الصادرة عن البرامج مفتوحة المصدر. من المحتمل أن يأمل المهاجمون ألا يكون لدى أهدافهم الوعي الأمني اللازم لفحص مكتبات الطرف الثالث التي يبحثون عنها أو يستخدمونها.

منذ سنوات مضت، كانت هناك موجات مماثلة من نشاط المجرمين السيبرانيين الذين استهدفوا مطوري لعبة Minecraft، ولكن يبدو الآن أنهم تحولوا إلى Roblox باعتباره الشيء الكبير التالي.