Od početka avgusta, ReversingLabs je otkrio preko desetak štetnih paketa unutar npm javnog spremišta. Ovi višestepeni paketi implantiraju Luna Grabber, malware otvorenog koda koji krade informacije.
Ova kampanja, koja radi od avgusta 2023. godine, namenjena je programerima koji pišu skripte za Roblox.
Zaranjanje u detalje
Kampanja koristi maliciozne npm pakete koji oponašaju popularni paket noblox.js, Node.js Roblox API wrapper. Originalni “noblox.js” paket, open-source Roblox API wrapper, olakšava upotrebu JavaScript-a za generisanje skripti koje se povezuju sa Roblox web lokacijom.
Ovi lažni paketi, uključujući noblox.js-vps, noblox.js-ssh i noblox.js-secure, sadrže maliciozne višestepene payload-e. Jedan od najznačajnijih identifikovanih payload-a je Luna Grabber za krađu informacija.
Seciranje Lune Grabber
Luna Grabber funkcioniše kao kradljivac informacija dizajniran za izdvajanje podataka iz web pretraživača, Discord aplikacija i lokalnih konfiguracija sistema.
- Može da identifikuje virtuelna okruženja i posjeduje funkciju samouništenja.
- Luna Grabber se može pohvaliti visokim nivoom prilagodljivosti i dolazi sa sveobuhvatnim smjernicama na svojoj GitHub stranici, objašnjavajući kako napraviti štetnu izvršnu datoteku.
Istraživači su primijetili nešto slično kada je vrlo prilagodljivi TurkoRat malware identifikovan na GitHubu još u maju.
Zaključak
Još jednom, ova kampanja podvlači ponavljajuću strategiju hakera koji koriste typosquatting kao taktiku da prevare programere da skinu maliciozni kod, upakovan u originalne pakete sa sličnim imenima. Nadalje, važno je istaknuti korištenje Luna Grabber-a za kreiranje malicioznih izvršnih datoteka, koje funkcionišu kao mamac u phishing-u i napadima na lanac opskrbe.
Izvor: Cyware Alerts – Hacker News