自 2023 年 8 月開始，在 npm 軟件包存儲庫中發(fā)現了十多個惡意軟件包，這些軟件包能夠在 Roblox 開發(fā)人員的系統(tǒng)上部署名為Luna Token Grabber 的開源信息竊取程序。

ReversingLabs 于 8 月 1 日首次檢測到正在進行的活動，該活動使用了偽裝成合法包noblox.js的模塊，該包是一個 API 包裝器，用于創(chuàng)建與 Roblox 游戲平臺交互的腳本。

這家軟件供應鏈安全公司將此次活動描述為2021 年 10 月“兩年前發(fā)現的一次攻擊的重演”。

軟件威脅研究員 Lucija Valenti?在周二的分析中表示：“惡意軟件包 [...] 從合法的 noblox.js 軟件包中復制代碼，但添加了惡意的信息竊取功能。”

這些軟件包在被下架前已累計下載 963 次。流氓軟件包的名稱如下：

• noblox.js-vps（版本 4.14.0 至 4.23.0）
• noblox.js-ssh（版本 4.2.3 至 4.2.5）
• noblox.js-secure（版本 4.1.0、4.2.0 至 4.2.3）

雖然最新攻擊浪潮的大致輪廓與之前的攻擊浪潮相似，但它也表現出了一些獨特的特征，特別是在部署可交付 Luna Grabber 的可執(zhí)行文件方面。

ReversingLabs 表示，這一進展是 npm 上發(fā)現的多階段感染序列的罕見實例之一。

瓦倫蒂奇指出：“對于針對軟件供應鏈的惡意活動，復雜攻擊和簡單攻擊之間的區(qū)別通常取決于惡意行為者掩飾其攻擊并使惡意軟件包看起來合法的程度。”

特別是，這些模塊巧妙地將其惡意功能隱藏在安裝后調用的名為 postinstall.js 的單獨文件中。

這是因為真正的 noblox.js 包還使用一個同名的文件來向用戶顯示感謝消息以及指向其文檔和 GitHub 存儲庫的鏈接。

另一方面，虛假變體利用 JavaScript 文件來驗證該軟件包是否安裝在 Windows 計算機上，如果是，則下載并執(zhí)行 Discord CDN 上托管的第二階段有效負載，或者顯示錯誤信息。

ReversingLabs 表示，第二階段隨著每次迭代不斷發(fā)展，逐步添加更多功能和混淆機制來阻止分析。該腳本的主要職責是下載Luna Token Grabber，這是一個 Python 工具，可以從 Web 瀏覽器中獲取憑證以及 Discord 令牌。

然而，npm 活動背后的威脅參與者似乎只選擇使用 Luna Token Grabber 背后的作者提供的可配置構建器從受害者那里獲取系統(tǒng)信息。

這并不是 Luna Token Grabber 第一次在野外被發(fā)現。今年 6 月初，Trellix披露了一種名為 Skuld 的基于 Go 的新信息竊取程序的詳細信息，該程序與惡意軟件菌株重疊。

瓦倫蒂奇說：“這再次凸顯了惡意行為者使用域名仿冒作為一種技術來欺騙開發(fā)人員以類似名稱的合法軟件包為幌子下載惡意代碼的趨勢。”