Una campagna di attacchi coordinata sta colpendo gli sviluppatori di Roblox con un obiettivo preciso: la propriet� intera dei videogame, non solo i singoli account. Il meccanismo � documentato da un'inchiesta di 404 Media con tre vittime nominate e una comunicazione ufficiale dell'azienda. Come funziona l'attacco Il primo contatto avviene su Discord, dove gli attaccanti si presentano come project manager o contractor con offerte di collaborazione fittizie. Guadagnata la fiducia, la vittima viene invitata a installare un package Python chiamato robase, presentato come strumento di database e project management. � un infostealer. La caratteristica tecnica rilevante � il tipo di dati sottratti: i token di sessione autenticati del browser. Con una sessione browser gi� autenticata, gli attaccanti riescono ad aggirare l'autenticazione a due fattori. Una delle vittime racconta di essere stata disconnessa dal proprio account Roblox su PC e telefono subito dopo l'installazione, con metodi di verifica in due passaggi e passkey modificati senza autorizzazione. In almeno un caso, gli attaccanti hanno usato l'identit� di una vittima precedente per aumentare la propria credibilit�: si sono presentati come collaboratori di "Cheesy Studios" e del gioco "The Shadow Network", due entit� gi� compromesse, per avvicinare un nuovo sviluppatore. Le vittime e la risposta di Roblox Fra i casi documentati, quello della famiglia Matziaris � emblematico: i due figli ventenni avevano costruito "The Shadow Network" in cinque anni, con oltre 12.000 membri. In poche ore, gli attaccanti hanno acquisito la propriet� del gruppo Roblox, trasferito il gioco a un nuovo gruppo sotto il loro controllo e sottratto i Robux accumulati. Roblox ha inizialmente respinto il reclamo della famiglia sostenendo che non c'erano indicazioni che il trasferimento fosse avvenuto a causa di una compromissione dell'account. Situazione analoga per Rai, sviluppatore canadese di 15 anni il cui gioco "Overcoding Overseers" era la sua unica fonte di reddito: generava circa 10.000 Robux al giorno e aveva raggiunto 1.100 utenti in contemporanea. Dopo oltre 30 giorni di contatti con il supporto Roblox senza esito, il gioco � stato recuperato solo dopo che 404 Media ha contattato l'azienda. Kaparoza, terza vittima, non aveva ancora recuperato il proprio gioco al momento della pubblicazione. Nella risposta ufficiale, Roblox ha dichiarato di aver ripristinato il gioco al legittimo proprietario e ha citato meccanismi di protezione gi� attivi per tutti gli utenti, tra cui "Enhanced Protection" e "Account Session Protection". Ha per� riconosciuto che nessuno di questi sistemi pu� eliminare completamente il rischio quando gli attaccanti convincono gli utenti a eseguire software malevolo sui propri dispositivi. La strategia degli attaccanti segna un netto cambiamento di bersaglio rispetto al passato: gli attacchi precedenti su Roblox prendevano di mira i giocatori comuni per sottrarre oggetti rari o account singoli. Ora il target sono gli account developer e il bottino � l'intero videogioco. Una campagna analoga era gi� stata segnalata nel gennaio 2025, rivolta ai giocatori con false offerte di beta test: distribuiva infostealer per rubare sessioni Discord e Steam e dati di wallet di criptovalute. L'analisi tecnica dell'attuale campagna e le raccomandazioni difensive per gli sviluppatori sono disponibili nel post di Malwarebytes.