O nouă campanie rău intenționată caută token-uri Discord și informații despre cardul de credit prin pachete npm open-source infectate
Pe 26 iulie, folosind sistemul automatizat, intern, pentru monitorizarea depozitelor open-source, cercetătorii Kaspersky au identificat o campanie rău intenționată denumită LofyLife. Campania a folosit 4 pachete rău intenționate care răspândesc malware Volt Stealer și Lofy Stealer în depozitul open-source npm pentru a aduna diverse informații de la victime, inclusiv token-uri Discord și informații despre cardul de credit, și pentru a le spiona ulterior.
Depozitul npm este o colecție publică de pachete de cod open-source utilizate pe scară largă în aplicații web front-end, aplicații mobile, roboți și routere și, de asemenea, pentru a servi nenumărate nevoi ale comunității JavaScript. Popularitatea sa face campania LofyLife și mai periculoasă, deoarece ar fi putut afecta mulți utilizatori ai depozitului.
Arhivele rău intenționate identificate păreau a fi pachete utilizate pentru sarcini obișnuite, cum ar fi formatarea titlurilor sau anumite funcții de gaming, cu toate acestea, conțineau coduri JavaScript și Python rău intenționate, foarte periculoase. Acest lucru le-a făcut mai greu de analizat atunci o dată încărcate în depozit. Sarcina utilă rău intenționată a constat într-un program malware scris în Python, denumit Volt Stealer, și un program malware JavaScript numit Lofy Stealer, cu numeroase funcții.
Volt Stealer a fost folosit pentru a fura token-uri Discord de la echipamentele infectate, împreună cu adresa IP a victimei, și pentru a le încărca prin HTTP. Lofy Stealer, o nouă creație a atacatorilor, este capabil să infecteze fișierele clientului Discord și să monitorizeze acțiunile victimei – detectând când un utilizator se conectează, schimbă detaliile legate de e-mail sau parolă, activează sau dezactivează autentificarea prin mai mulți factori și adaugă noi metode de plată, inclusiv detaliile complete ale cardului de credit. Informațiile colectate sunt, de asemenea, încărcate la nivelul endpoint, la distanță.
Anders Olofsson – former Head of Payments Finastra
Banking 4.0 – „how was the experience for you”
„So many people are coming here to Bucharest, people that I see and interact on linkedin and now I get the change to meet them in person. It was like being to the Football World Cup but this was the World Cup on linkedin in payments and open banking.”
Many more interesting quotes in the video below:
