Se han descubierto más de una docena de paquetes maliciosos en el repositorio de paquetes npm desde principios de agosto de 2023 con capacidades para implementar un ladrón de información de código abierto llamado Agarrador de fichas de Luna en sistemas pertenecientes a desarrolladores de Roblox.
La campaña en curso, detectada por primera vez el 1 de agosto por ReversingLabs, emplea módulos que se hacen pasar por el paquete legítimo. noblox.jsun contenedor de API que se utiliza para crear scripts que interactúan con la plataforma de juegos Roblox.
La empresa de seguridad de la cadena de suministro de software describió la actividad como una “repetición de un ataque descubierto hace dos años” en octubre de 2021.
“Los paquetes maliciosos […] reproduce código del paquete legítimo noblox.js pero añade funciones maliciosas de robo de información”, dijo la investigadora de amenazas de software Lucija Valentić dicho en un análisis del martes.
Los paquetes se descargaron acumulativamente 963 veces antes de ser eliminados. Los nombres de los paquetes no autorizados son los siguientes:
- noblox.js-vps (versiones 4.14.0 a 4.23.0)
- noblox.js-ssh (versiones 4.2.3 a 4.2.5)
- noblox.js-secure (versiones 4.1.0, 4.2.0 a 4.2.3)
Si bien los contornos generales de la última ola de ataques siguen siendo similares a la anterior, también exhibe algunas características únicas, en particular en el despliegue de un ejecutable que entrega Luna Grabber.
El desarrollo es uno de los raros casos de una secuencia de infección de múltiples etapas descubierta en npm, dijo ReversingLabs.
“Con las campañas maliciosas dirigidas a la cadena de suministro de software, la diferencia entre ataques sofisticados y poco sofisticados a menudo se reduce al nivel de esfuerzo que hacen los actores maliciosos para disfrazar su ataque y hacer que sus paquetes maliciosos parezcan legítimos”, señaló Valentić.
Los módulos, en particular, ocultan inteligentemente su funcionalidad maliciosa en un archivo separado llamado postinstall.js que se invoca después de la instalación.
Esto se debe a que el paquete noblox.js genuino también emplea un archivo con el mismo nombre para mostrar un mensaje de agradecimiento a sus usuarios junto con enlaces a su documentación y al repositorio de GitHub.
Las variantes falsas, por otro lado, utilizan el archivo JavaScript para verificar si el paquete está instalado en una máquina con Windows y, de ser así, descargan y ejecutan una carga útil de segunda etapa alojada en Discord CDN o, alternativamente, muestran un error. mensaje.
ReversingLabs dijo que la segunda etapa continuó evolucionando con cada iteración, agregando progresivamente más funcionalidades y mecanismos de ofuscación para frustrar el análisis. La responsabilidad principal del script es descargar Agarrador de fichas de Lunauna herramienta de Python que puede desviar credenciales de navegadores web y tokens de Discord.
Sin embargo, parece que el actor de amenazas detrás de la campaña npm parece haber optado solo por recopilar información del sistema de las víctimas utilizando un generador configurable puesto a disposición por los autores detrás de Luna Token Grabber.
Esta no es la primera vez que se ve a Luna Token Grabber en la naturaleza. A principios de junio, Trellix reveló detalles de un nuevo ladrón de información basado en Go llamado Skuld que se superpone con la cepa de malware.
“Esto pone de relieve una vez más la tendencia de los actores maliciosos a utilizar la typosquatting como técnica para engañar a los desarrolladores para que descarguen código malicioso bajo la apariencia de paquetes legítimos con nombres similares”, dijo Valentić.