Roblox 开发者遭遇恶意软件攻击
关键要点
一个未知团体针对热门在线游戏 Roblox 开发者,向其使用的开源软件包植入信息窃取恶意软件 Luna Grabber。此攻击活动利用拼写相似性和复杂的混淆技术,诱使用户下载伪造的常用软件版本。该恶意软件可以在受害者的网络浏览器、Discord 应用及其他地方部署。尽管有部分软件包已被移除,但攻击活动仍在持续。近日,研究人员在 ReversingLabs 发现,一个尚未确认的团体正在针对开发者的热门在线游戏 Roblox,向他们使用的多个开源软件包中植入了一种名为 Luna Grabber 的信息窃取恶意软件。这种攻击活动利用拼写相似以及一系列复杂的混淆策略,诱使用户下载伪造版本的常用软件包,主要是在 npm 这个流行的开源软件库中。
尽管许多情况下,这些包仍然包含开发者所需的合法代码,但它们也包含了一种多阶段的恶意软件攻击,能够在受害者的网络浏览器、Discord 应用和其他来源上部署 Luna Grabber。该恶意软件最初是在 ReversingLabs 对 npm 的“常规监控”中发现的,研究人员发现了一个名为 nobloxjsvps 的软件包,它明显是在进行拼写相似性攻击,以冒充一个合法的 Roblox API 封装。
在一篇 文章 中,威胁研究员 Lucija Valenti 表示,被窃取的信息可能会在未来的攻击中被利用。Valenti 写道:“使用 Luna Grabber 的‘即插即用’开源恶意软件可以生成恶意可执行文件,作为网络钓鱼和供应链攻击的诱饵,从目标开发者那里收集敏感信息。”
关键数据情况每日活跃用户超过 6600 万每月活跃用户214 亿Roblox 是一个在线视频游戏平台,用户可以像在 Minecraft 中一样,为他人创建虚拟世界和关卡。自 COVID19 大流行以来,其人气急剧上升:根据数据分析公司 DemandSage 的数据,Roblox 当前在全球拥有超过 6600 万的每日活跃用户和 214 亿的每月活跃用户。
这并不是该游戏平台的开发者第一次遭到攻击。早在 2021 年,另一个未知团体使用类似的方法,以拼写相似性攻击 nobloxjs 并向受害者传播勒索软件。ReversingLabs 的威胁情报倡导负责人 Ashlee Benge 表示,与许多其他流行游戏不同,Roblox 的开发者往往较年轻,且未隶属于大型公司或商业实体,因此对开源软件的威胁认识相对不足。
她提到,几年前曾有类似的活动针对 Minecraft 开发者,而如今,“新兴的大趋势似乎是 Roblox”。Benge 指出:“我认为这利用了许多缺乏安全意识的人,他们可能没有意识到需要验证所使用的第三方库,或者看到某个名字与他们寻找的软件包非常相似,就会认为它们可能是改名了。”
这次攻击还标志着少数利用 npm 执行多阶段恶意软件攻击的案例。传统上,这类攻击更多地出现在其他开源库,如 PyPi,但随着那些库为开发者引入 新身份验证功能,以遏制软件供应链中毒,恶意行为者可能正在转向其他资源库。
梯子npv官网迄今为止,发现的 Luna Grabber 恶意软件版本似乎在收集信息方面异常受限。分析显示,该恶意软件仅窃取非常基本的系统配置信息,但进一步检查发现,恶意行为者可能能够攫取更多信息。
