Bu ayın başından bu yana ReversingLabs’taki araştırmacılar, npm genel deposunda Luna Grabber olarak bilinen açık kaynaklı, bilgi çalan bir kötü amaçlı yazılım yerleştiren bir dizi kötü amaçlı, çok aşamalı paket buldu.
Kampanyaya ilişkin ReversingLabs analizine göre paketler, kurbanlarına virüs bulaştırmak için noblox.js gibi meşru bir paketi taklit ediyor; “Roblox oyun platformuyla etkileşime giren komut dosyalarını yazmak için kullanılan bir Node.js Roblox API sarmalayıcısı”. Kötü amaçlı paketler, meşru paketten kod üretir ancak karışıma bilgi çalma işlevlerini de ekler.
Sonuçta Roblox platformunda çalışan komut dosyalarının geliştiricileri, ReversingLabs’a göre “kullanıcının yerel web tarayıcısından, Discord uygulamasından ve daha fazlasından bilgi çalmak için tasarlanmış açık kaynaklı bir kötü amaçlı yazılım” olan Luna Grabber’ın farkında olmadan kurbanı olabilir.
Araştırmacılar ilk kez ortaya çıktı bu tür kampanyalar npm genel deposunu izlerken karşılaştıkları ilk kötü amaçlı paket noblox.js-vps oldu. Paket, diğer eylemlerin yanı sıra komut satırında komutları yürütmek, Discord eklerine bağlanan URL’leri içermek, belirli bir dizindeki dosyaları numaralandırmak ve kullanıcı bilgilerini numaralandırmak gibi şüpheli davranışlar sergiliyordu. O tarihten bu yana ReversingLabs araştırmacıları, noblox.js-ssh ve noblox.js-secure gibi benzer diğer kötü amaçlı paketleri de tespit etti.
“Bu kampanyada noblox.js-vps ve diğer kötü amaçlı paketlerin etkisi yüksek olmasa da, güvenlik ve yazılım geliştirme ekiplerine, tehditlerin sürekli olarak açık kaynak kod depolarında gizlendiğini ve hangi paketin dahil edileceğini seçmeyi kolaylaştırdığını hatırlatmak isteriz. geliştirme süreci kritik” diye yazdı araştırmacılar.
