Pacotes maliciosos foram encontrados no repositório npm visando usuários e desenvolvedores do Roblox, instalando malwares como Skuld e Blank-Grabber para roubar dados dos sistemas infectados. A campanha mostra como atacantes podem explorar a confiança no ecossistema de código aberto e usar plataformas públicas como GitHub, Discord e Telegram para hospedar arquivos e se comunicar com servidores de comando e controle (C2), burlando muitas medidas de segurança.

Entre os pacotes detectados estão “node-dlls”, “ro.dll”, “autoadv” e “rolimons-api”, todos com dezenas de downloads. Por exemplo, o “node-dlls” simula o pacote legítimo “node-dll”, popular em JavaScript, enquanto o “rolimons-api” se apresenta como uma versão confiável da API de Rolimon. Esses pacotes usam nomes conhecidos para enganar desenvolvedores e induzi-los a fazer o download.

Os códigos desses pacotes são ofuscados e baixam os malwares Skuld e Blank-Grabber, desenvolvidos em Golang e Python, respectivamente, que capturam dados dos sistemas e os enviam aos atacantes via Discord ou Telegram. Para complicar a detecção, os binários maliciosos são armazenados em um repositório GitHub controlado pelos invasores.

A popularidade do Roblox atrai o interesse de criminosos, que lançam pacotes falsos para aproveitar a confiança em bibliotecas amplamente usadas, como o noblox.js. Com o crescimento do código aberto, a superfície de ataque aumenta, o que exige cautela na verificação de nomes e no código-fonte dos pacotes antes de sua instalação.

Especialistas recomendam que desenvolvedores adotem práticas de segurança rigorosas para evitar ataques e monitorar a origem dos pacotes utilizados.