Aplicații

O noua campanie rau intentionata cauta token-uri Discord si informatii despre cardul de credit prin pachete npm open-source infectate

By Cristi Dorombach

August 03, 2022

Pe 26 iulie, folosind sistemul automatizat, intern, pentru monitorizarea depozitelor open-source, cercetatorii Kaspersky au identificat o campanie rau intentionata denumita LofyLife. Campania a folosit 4 pachete rau intentionate care raspandesc malware Volt Stealer si Lofy Stealer in depozitul open-source npm pentru a aduna diverse informatii de la victime, inclusiv token-uri Discord si informatii despre cardul de credit, si pentru a le spiona ulterior.

Depozitul npm este o colectie publica de pachete de cod open-source utilizate pe scara larga in aplicatii web front-end, aplicatii mobile, roboti si routere si, de asemenea, pentru a servi nenumarate nevoi ale comunitatii JavaScript. Popularitatea sa face campania LofyLife si mai periculoasa, deoarece ar fi putut afecta multi utilizatori ai depozitului.

Arhivele rau intentionate identificate pareau a fi pachete utilizate pentru sarcini obisnuite, cum ar fi formatarea titlurilor sau anumite functii de gaming, cu toate acestea, contineau coduri JavaScript si Python rau intentionate, foarte periculoase. Acest lucru le-a facut mai greu de analizat atunci o data incarcate in depozit. Sarcina utila rau intentionata a constat intr-un program malware scris in Python, denumit Volt Stealer, si un program malware JavaScript numit Lofy Stealer, cu numeroase functii.

Volt Stealer a fost folosit pentru a fura token-uri Discord de la echipamentele infectate, impreuna cu adresa IP a victimei, si pentru a le incarca prin HTTP. Lofy Stealer, o noua creatie a atacatorilor, este capabil sa infecteze fisierele clientului Discord si sa monitorizeze actiunile victimei – detectand cand un utilizator se conecteaza, schimba detaliile legate de e-mail sau parola, activeaza sau dezactiveaza autentificarea prin mai multi factori si adauga noi metode de plata, inclusiv detaliile complete ale cardului de credit. Informatiile colectate sunt, de asemenea, incarcate la nivelul endpoint, la distanta.Produsele Kaspersky detecteaza programele malware LofyLife ca Trojan.Python.Lofy.a, Trojan.Script.Lofy.gen.