Luna Grabber

En oidentifierad hotaktör har riktat sig mot utvecklare som är involverade i att skapa skript för den omåttligt populära Roblox-spelplattformen. Denna hotfulla enhet har lyckats kompromissa med över ett dussin mjukvarupaket med öppen källkod som ofta används av sådana utvecklare. De manipulerade npm-paketen bekräftades ha implanterats med en informationsinsamlande skadlig programvara som heter Luna Grabber.

Den här offensiva kampanjen använder sig av strategier som skrivfel på huk och en rad intrikata förvirringstekniker. Dessa används för att locka användare att ladda ner förfalskade utgåvor av vanlig programvara via npm, ett välkänt program med öppen källkodsbibliotek. Även om dessa paket i många fall fortfarande innehåller den autentiska koden som utvecklare söker, har de också en flerfasig skadlig kod. Denna attack kan släppa lös Luna Grabber på olika fronter, inklusive offrets webbläsare, Discord-applikation och andra kanaler.

Luna Grabber kan samla in olika känslig information från intrångade enheter

Luna Grabber fungerar som hotfull programvara med det uttryckliga syftet att extrahera data från webbläsare, Discord-applikationen och lokala systemkonfigurationer. Dessutom innehåller den typiska attribut som vanligtvis finns i osäkra program, såsom förmågan att känna igen dess exekvering i en virtuell miljö och en inneboende självförstöringsmekanism.

Luna Grabber har en hög grad av anpassningsförmåga. Angripare har flexibiliteten att anpassa sitt beteende för att utföra olika uppgifter. Genom skaparens verktygslåda kan cyberbrottslingar enkelt konfigurera Luna Grabber så att den startar automatiskt när datorn startas. Den kan sedan samla en rad data, inklusive Wi-Fi-uppgifter och till och med koder för tvåfaktorsautentisering (2FA). Dessutom kan den fördjupa sig i detaljer från spel som Minecraft.

Närvaron av Luna Grabber orsakar betydande hot och potentiell skada. Denna illvilliga programvara är noggrant utformad för att i tysthet skörda och exfiltrera personlig och känslig data från en mängd olika källor. Detta omfattar information som lagras i webbläsare, som potentiellt kan utsätta inloggningsuppgifter, ekonomiska register, privata konversationer, personliga profiler och mer i fara. I fall där offret använder Discord-applikationen utökar Luna Grabber sin räckvidd till att stjäla data därifrån också. Detta kan potentiellt avslöja personliga diskussioner och känslig information.

Dessutom återspeglar förmågan hos Luna Grabber att identifiera virtuella miljöer och dess inbyggda självförstöringsmekanism en nivå av sofistikering som ökar dess motståndskraft mot upptäckt och borttagning. Denna sofistikering kan resultera i långvarig exponering och pågående dataexfiltrering.

Roblox har varit målet för attacker med skadlig programvara tidigare

Roblox beskrivs som en online-videospelsplattform där användare, i likhet med spel som Minecraft, kan bygga virtuella världar och nivåer för andra att spela i. Sedan covid-19-pandemin har dess popularitet exploderat, med rapporter som tyder på att spelet för närvarande ståtar med mer än 60 miljoner dagliga aktiva användare och uppåt 200 miljoner aktiva användare varje månad.

Luna Grabber-kampanjen är inte första gången som utvecklare av den omåttligt populära spelplattformen har blivit måltavla av hackare. År 2021 använde en annan oidentifierad part en liknande metod som involverade skrivfel av noblox.js som en vektor för att leverera ransomware till offer. Anledningen kan vara att, till skillnad från många andra populära spel, är den genomsnittliga utvecklaren som gör Roblox-nivåer sannolikt yngre, obunden till en större företags- eller affärsenhet och mindre sofistikerad när det gäller hot från programvara med öppen källkod. Angriparna hoppas sannolikt att deras mål inte har säkerhetsmedvetenhet för att faktiskt kontrollera de tredjepartsbibliotek de letar efter eller använder.

För år sedan var det liknande utbrott av cyberkriminell aktivitet riktad mot Minecraft-utvecklare, men nu verkar de ha bytt till Roblox som nästa stora grej.