В репозитории npm обнаружено несколько вредоносных пакетов, нацеленных на разработчиков Roblox. При помощи опенсорсных стилеров Skuld и Blank-Grabber у жертв похищали данные.

Как рассказали исследователи Socket, обнаружившие эту атаку, список вредоносных пакетов выглядел следующим образом:

• node-dlls (77 загрузок);

• ro.dll (74 загрузки);

• autoadv (66 загрузок);

• rolimons-api (107 загрузок).

Отмечается, что node-dlls — это попытка злоумышленников замаскироваться под легитимный пакет node-dll, а rolimons-api — это вредоносная вариация API Rolimon.

Исследователи пишут, что хотя существуют неофициальные врапперы и модули — например, Python-пакет rolimons (который загрузили более 17 000 раз) и Lua-модуль Rolimons на GitHub, — вредоносный rolimons-api пытался паразитировать на доверии разработчиков к знакомым именам. При этом злоумышленники имитировали легитимные решения, широко используемые в сообществе разработчиков Roblox.

Вредоносные пакеты содержали обфусцированный jаvascript-код, который загружал и выполнял в системах жертв стилеры Skuld и Blank Grabber, написанные на Golang и Python. Эти вредоносы могут собрать широкий спектр информации с зараженных устройств, а затем передать похищенные данные своим операторам через веб-хуки Discord или Telegram.

При этом в попытке избежать обнаружения бинарники малвари извлекались из репозитория на GitHub (github[.]com/zvydev/code/), контролируемого хакерами.