I creatori di giochi su Roblox stanno perdendo interi asset digitali a causa di una campagna di malware che sfrutta l'ingegneria sociale su Discord e ruba session token autenticati, bypassando la 2FA. Il fenomeno, documentato il 17 giugno 2026 da Help Net Security e Malwarebytes sulla base di reportage di 404 Media, segna un salto qualitativo nel cosiddetto "beaming": da furto di oggetti virtuali a confisca completa di giochi produttivi con ricavi diretti.
- Gli attaccanti contattano sviluppatori su Discord con offerte di lavoro false, spesso impersonando studi legittimi come Cheesy Studios.
- Il malware è distribuito come pacchetto Python 'robase', presentato come tool di sviluppo per database.
- Ruba session token, non credenziali: questo bypassa la 2FA reimpiegando sessioni già autenticate.
- Il supporto Roblox ha impiegato oltre 30 giorni per risolvere i casi, con recupero effettivo solo dopo intervento mediatico.
Come funziona il meccanismo di attacco
L'ingresso avviene attraverso Discord. Gli attaccanti si presentano con ruoli di "project manager" e offerte di collaborazione allettanti, talvolta impersonando studi con credibilità consolidata come Cheesy Studios — l'azienda dei fratelli Matziaris. Il payload è un pacchetto Python denominato 'robase', presentato come utility per database.
Una volta eseguito, il malware opera come infostealer specializzato. Non mira alle password: ruba i session token dei browser già autenticati. Come spiega Malwarebytes citando 404 Media, "this is a case of session-token theft, rather than credential theft". La distinzione è cruciale: con un session token valido, gli attaccanti reimpiegano una sessione già verificata, rendendo inefficaci misure come la 2FA.
Con l'accesso acquisito, gli attaccanti modificano le impostazioni di sicurezza, cambiano passkey, forzano il logout da tutti i dispositivi e trasferiscono ownership di giochi e gruppi. Il creatore viene espropriato dell'asset in tempi brevi, con impatto economico diretto.
Le vittime documentate: da 10.000 Robux al giorno a zero
Jovan Rai, 15 anni, gestiva un gioco con picco di 1.100 utenti concorrenti e guadagno di circa 10.000 Robux giornalieri — equivalenti a circa 38 dollari. Il gioco gli è stato sottratto; ha impiegato oltre 30 giorni di contatti con il supporto Roblox senza risultato. La svolta è arrivata solo dopo l'intervento di un reporter di 404 Media.
Altrettanto significativo il caso dei fratelli Matziaris, cui è stato rubato "The Shadow Network", gioco su cui avevano lavorato per cinque anni. Il figlio della famiglia ha eseguito il malware dopo essere stato contattato con un'offerta di lavoro in aprile 2026. Gli attaccanti hanno poi impersonato la stessa Cheesy Studios per dare credibilità ad altre offerte, estendendo la rete di contatti.
"Account theft usually ends with someone losing a password. This one ends with hackers walking off with the entire game."
La risposta di Roblox e i suoi limiti
Roblox ha risposto alle richieste di commento citando funzionalità come "Enhanced Protection" e "Account Session Protection". La company statement, riportata da Help Net Security, include però una clausola significativa: "no security measure can completely eliminate the risk of account theft when users are persuaded to run malicious software or execute untrusted code".
Il caso documenta un pattern ricorrente: il ripristino dei giochi è avvenuto solo dopo contatto mediatico, non attraverso i canali ordinari di supporto. Questo solleva interrogativi sulla capacità della piattaforma di tutelare autonomamente i creator, in particolare quelli più giovani o con minore visibilità.
Cosa fare adesso
Per gli sviluppatori Roblox attivi su Discord, la verifica dell'identità dei contatti che propongono collaborazioni è il primo filtro. Richiedere conferma attraverso canali ufficiali dello studio o della persona — non solo tramite il profilo Discord che ha iniziato la conversazione — riduce il rischio di interagire con account impersonati.
La natura del pacchetto 'robase' come strumento Python richiede cautela specifica: qualsiasi pacchetto non verificato da repository attendibili o non richiesto da fonti note merita un controllo incrociato. Gli sviluppatori dovrebbero isolare l'installazione di tool di terze parti in ambienti separati dal sistema principale di sviluppo, quando possibile.
Il meccanismo di session-token theft rende la 2FA insufficiente come unica barriera. Monitorare le sessioni attive dell'account Roblox e disconnettere quelle non riconosciute è un'azione concreta, sebbene il logout forzato da parte degli attaccanti possa rendere questo controllo reattivo piuttosto che preventivo.
Per i creator con asset di valore, documentare la proprietà del gioco attraverso registrazioni esterne — screenshot di pannelli di controllo, cronologie di sviluppo, comunicazioni con il supporto — fornisce materiale utile in caso di contestazione con il supporto Roblox. I casi documentati mostrano che la visibilità mediatica ha accelerato il recupero: avere pronta una documentazione strutturata riduce i tempi di reazione se il canale ordinario fallisce.
Perché è importante
Il passaggio dal furto di oggetti virtuali all'espropriazione di interi giochi produttivi rappresenta un'escalation che colpisce il cuore economico delle piattaforme UGC. Per sviluppatori indie, molti dei quali minorenni, il rischio non è più la perdita di un accessorio estetico ma quella di un asset generatore di reddito.
Il dossier non specifica il numero totale di sviluppatori colpiti da questa campagna specifica, né documenta varianti del malware oltre al pacchetto 'robase'. Non emerge inoltre se il pacchetto sia distribuito su repository pubblici o esclusivamente tramite condivisione diretta. La fonte non chiarisce se le sessioni rubate vengano monetizzate tramite vendita dei giochi stessi o solo attraverso la sottrazione di Robux.
L'assenza di advisory primari strutturati — nessun CVE identificato per questa campagna, nessuna comunicazione ufficiale del vendor con dettagli tecnici — lascia questa campagna in una zona grigia di documentazione. Le fonti disponibili sono editoriali di sicurezza e reportage giornalistico, non advisory tecnici verificabili indipendentemente. Per il settore, la questione centrale resta la responsabilità della piattaforma nella protezione di asset creati dagli utenti e nella tempestività del supporto.
Le informazioni sono basate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.
Fonti
- https://securelist.com/dozens-of-malicious-wallpapers-found-on-steam-workshop/120186/
- https://unit42.paloaltonetworks.com/flutterbridge-new-fluttershell-backdoor/
- https://nvd.nist.gov/vuln
- https://nvd.nist.gov/vuln/search
- https://nvd.nist.gov/vuln/categories
- https://nvd.nist.gov/vuln/data-feeds
- https://nvd.nist.gov/vuln/vendor-comments
- https://nvd.nist.gov/vuln/cvmap