Plus d’une douzaine de packages malveillants ont été découverts sur le référentiel de packages npm depuis début août 2023, avec des capacités permettant de déployer un voleur d’informations open source appelé Attrapeur de jetons Luna sur les systèmes appartenant aux développeurs Roblox.
La campagne en cours, détectée pour la première fois le 1er août par ReversingLabs, utilise des modules qui se font passer pour le package légitime. noblox.jsun wrapper API utilisé pour créer des scripts qui interagissent avec la plate-forme de jeu Roblox.
La société de sécurité de la chaîne d’approvisionnement en logiciels a décrit cette activité comme une « répétition d’une attaque découverte il y a deux ans » en octobre 2021.
« Les paquets malveillants […] reproduire le code du package noblox.js légitime mais ajouter des fonctions malveillantes de vol d’informations », Lucija Valentić, chercheuse sur les menaces logicielles. dit dans une analyse de mardi.
Les packages ont été téléchargés au total 963 fois avant d’être supprimés. Les noms des packages malveillants sont les suivants :
- noblox.js-vps (versions 4.14.0 à 4.23.0)
- noblox.js-ssh (versions 4.2.3 à 4.2.5)
- noblox.js-secure (versions 4.1.0, 4.2.0 à 4.2.3)
Même si les grandes lignes de la dernière vague d’attaque restent similaires à la précédente, elle présente également des caractéristiques uniques, notamment dans le déploiement d’un exécutable qui délivre Luna Grabber.
Ce développement est l’un des rares cas d’une séquence d’infection en plusieurs étapes découverte sur npm, a déclaré ReversingLabs.
« Avec les campagnes malveillantes qui ciblent la chaîne d’approvisionnement des logiciels, la différence entre les attaques sophistiquées et les attaques non sophistiquées se résume souvent au niveau d’effort déployé par les acteurs malveillants pour dissimuler leur attaque et donner l’impression que leurs packages malveillants semblent légitimes », a souligné Valentić.
Les modules, en particulier, dissimulent intelligemment leurs fonctionnalités malveillantes dans un fichier distinct nommé postinstall.js qui est invoqué après l’installation.
C’est parce que le véritable package noblox.js utilise également un fichier du même nom pour afficher un message de remerciement à ses utilisateurs ainsi que des liens vers sa documentation et son référentiel GitHub.
Les fausses variantes, en revanche, utilisent le fichier JavaScript pour vérifier si le package est installé sur une machine Windows et, si c’est le cas, télécharger et exécuter une charge utile de deuxième étape hébergée sur Discord CDN, ou bien, afficher une erreur. message.
ReversingLabs a déclaré que la deuxième étape continuait d’évoluer à chaque itération, ajoutant progressivement davantage de fonctionnalités et de mécanismes d’obscurcissement pour contrecarrer l’analyse. La principale responsabilité du script est de télécharger Attrapeur de jetons Lunaun outil Python qui peut siphonner les informations d’identification des navigateurs Web ainsi que les jetons Discord.
Cependant, il semble que l’acteur menaçant derrière la campagne npm ait choisi uniquement de collecter les informations système des victimes à l’aide d’un constructeur configurable mis à disposition par le ou les auteurs derrière Luna Token Grabber.
Ce n’est pas la première fois que Luna Token Grabber est repéré dans la nature. Plus tôt en juin, Trellix a divulgué les détails d’un nouveau voleur d’informations basé sur Go appelé Skuld qui chevauche la souche du malware.
« Cela met une fois de plus en évidence la tendance des acteurs malveillants à utiliser le typosquatting comme technique pour inciter les développeurs à télécharger du code malveillant sous le couvert de packages légitimes portant le même nom », a déclaré Valentić.