Bu ayın başından bu yana, ReversingLabs’taki araştırmacılar, npm genel deposunda Luna Grabber olarak bilinen açık kaynaklı, bilgi çalan bir kötü amaçlı yazılım yerleştiren bir dizi kötü amaçlı, çok aşamalı paket buldu.
Kampanyaya ilişkin ReversingLabs analizine göre paketler, kurbanlarına virüs bulaştırmak için noblox.js (“Roblox oyun platformuyla etkileşime giren komut dosyalarını yazmak için kullanılan bir Node.js Roblox API sarmalayıcısı”) gibi meşru bir paketi taklit ediyor. Kötü amaçlı paketler, meşru paketten kod üretir ancak karışıma bilgi çalma işlevlerini de ekler.
Sonuçta Roblox platformunda çalışan komut dosyalarının geliştiricileri, ReversingLabs’a göre “kullanıcının yerel web tarayıcısından, Discord uygulamasından ve daha fazlasından bilgi çalmak için tasarlanmış açık kaynaklı bir kötü amaçlı yazılım” olan Luna Grabber’ın farkında olmadan kurbanı olabilir.
Araştırmacılar bu tür kampanyalarla ilk kez npm genel deposunu izlerken karşılaştılar ve karşılaştıkları ilk kötü amaçlı paket noblox.js-vps oldu. Paket, diğer eylemlerin yanı sıra komut satırında komut yürütmek, Discord eklerine bağlantı veren URL’ler eklemek, belirli bir dizindeki dosyaları numaralandırmak ve kullanıcı bilgilerini numaralandırmak gibi şüpheli davranışlar sergiliyordu. O tarihten bu yana ReversingLabs araştırmacıları, noblox.js-ssh ve noblox.js-secure gibi benzer diğer kötü amaçlı paketleri de tespit etti.
“Bu kampanyada noblox.js-vps ve diğer kötü amaçlı paketlerin etkisi yüksek olmasa da, güvenlik ve yazılım geliştirme ekiplerine, tehditlerin sürekli olarak açık kaynak kod depolarında gizlendiğini ve hangi paketin dahil edileceğini seçmeyi kolaylaştırdığını hatırlatıyor. geliştirme süreci kritik” diye yazdı araştırmacılar.