Da agosto 2023, sono stati scoperti oltre una dozzina di pacchetti malevoli nel repository di pacchetti npm. Questi pacchetti hanno la capacità di implementare un ladro di informazioni open-source chiamato “Luna Token Grabber” sui sistemi degli sviluppatori di Roblox.
Dettagli della campagna maliziosa
La campagna in corso, rilevata per la prima volta il 1° agosto da ReversingLabs, utilizza moduli che si spacciano per il pacchetto legittimo “noblox.js”, un wrapper API utilizzato per creare script che interagiscono con la piattaforma di gioco Roblox. Questa attività è stata descritta come una ripetizione di un attacco scoperto nel 2021.
Caratteristiche dei pacchetti maliziosi
I pacchetti malevoli riproducono il codice del pacchetto noblox.js legittimo, ma aggiungono funzioni malevole per rubare informazioni. Questi pacchetti sono stati scaricati complessivamente 963 volte prima di essere rimossi. Alcuni dei pacchetti malevoli includono “noblox.js-vps”, “noblox.js-ssh” e “noblox.js-secure”.
Unicità dell’attacco
Sebbene l’attacco attuale abbia molte somiglianze con quello precedente, presenta anche alcune caratteristiche uniche, in particolare nella distribuzione di un eseguibile che fornisce Luna Grabber. Questo sviluppo rappresenta una delle rare istanze di una sequenza di infezione multi-fase scoperta su npm.
Tecniche di mascheramento
Gli attacchi al software spesso differiscono nella sofisticazione in base allo sforzo fatto dagli attori malevoli per mascherare il loro attacco. I moduli maliziosi in questione nascondono la loro funzionalità in un file separato chiamato “postinstall.js”. Mentre il pacchetto noblox.js originale utilizza un file con lo stesso nome per mostrare un messaggio di ringraziamento, le varianti false utilizzano il file JavaScript per verificare se il pacchetto è installato su una macchina Windows.
Funzionalità di Luna
Token Grabber ReversingLabs ha rivelato che il secondo stadio dell’attacco continua a evolversi, aggiungendo progressivamente più funzionalità e meccanismi di offuscamento. Il principale compito dello script è scaricare Luna Token Grabber, uno strumento Python che può rubare credenziali dai browser web e dai token Discord.
Precedenti incursioni di Luna
Token Grabber Non è la prima volta che Luna Token Grabber viene individuato. Già a giugno, Trellix aveva rivelato dettagli su un nuovo ladro di informazioni basato su Go chiamato Skuld che ha sovrapposizioni con questa variante di malware.