26 июля исследователи «Лаборатории Касперского» выявили вредоносную кампанию, получившую название LofyLife
Злоумышленники
охотились за токенами пользователей Discord и данными банковских
карт, привязанных к их аккаунтам, а также отслеживали действия своих жертв.
Атакующие использовали четыре заражённых пакета, распространяющие вредоносные
программы Volt Stealer и Lofy Stealer в репозитории с открытым исходным кодом NPM.
NPM-репозиторий — это общедоступная коллекция пакетов с открытым исходным кодом, широко используемых во внешних веб-приложениях, мобильных приложениях, роботах и роутерах, а также для различных нужд сообщества JavaScript . Популярность репозитория повышает опасность кампании LofyLife, поскольку она могла затронуть многочисленных пользователей репозитория.
Выявленные вредоносные пакеты были предназначены для обычных задач, таких как форматирование заголовков, однако они содержали сильно видоизменённый* вредоносный код на JavaScript и Python. Это затрудняло анализ опубликованных в репозитории пакетов. Вредоносная нагрузка пакетов состояла из двух троянских программ — написанного на языке Python троянца Volt Stealer и более функционального троянца на языке JavaScript, получившего название Lofy Stealer.
Атакующие использовали Volt Stealer для кражи с заражённых устройств токенов Discord и IP -адресов жертв и загрузки их через HTTP. Lofy Stealer способен заражать файлы клиента Discord и отслеживать действия жертвы — когда пользователь входит в систему, меняет адрес электронной почты или пароль, включает или отключает многофакторную аутентификацию и добавляет новые способы оплаты. Причём вредонос может отследить полные данные кредитной карты. Собранная информация также загружается на серверы, контролируемые злоумышленниками.
«Разработчики в значительной степени полагаются на репозитории с открытым исходным кодом — они используют их для ускорения и повышения эффективности в процессе создания IT-решений. Однако, кампании, подобные LofyLife, показывают, что даже авторитетным репозиториям нельзя доверять по умолчанию — весь код, который IT-специалисты внедряют в свои продукты, попадает под их собственную ответственность. Мы добавили средства обнаружения нового вредоносного ПО в наши решения, поэтому их пользователи смогут узнать о заражении и удалить вредоносы», — комментирует Леонид Безвершенко, эксперт по кибербезопасности «Лаборатории Касперского».
Продукты «Лаборатории Касперского» детектируют вредоносное ПО LofyLife как Trojan.Python.Lofy.a, Trojan.Script.Lofy.gen .
Подробнее о кампании можно прочитать на Securelist.
* Видоизменённый для усложнения анализа (обфусцированный).