Перейти к основному разделу

Охота за токенами Discord и данными банковских карт: новая вредоносная кампания распространяется через заражённые пакеты NPM с открытым исходным кодом

29 июля 2022 г.

26 июля исследователи «Лаборатории Касперского» выявили вредоносную кампанию, получившую название LofyLife

Злоумышленники охотились за токенами пользователей Discord и данными банковских карт, привязанных к их аккаунтам, а также отслеживали действия своих жертв. Атакующие использовали четыре заражённых пакета, распространяющие вредоносные программы Volt Stealer и Lofy Stealer в репозитории с открытым исходным кодом NPM.

NPM-репозиторий — это общедоступная коллекция пакетов с открытым исходным кодом, широко используемых во внешних веб-приложениях, мобильных приложениях, роботах и роутерах, а также для различных нужд сообщества JavaScript . Популярность репозитория повышает опасность кампании LofyLife, поскольку она могла затронуть многочисленных пользователей репозитория.

Выявленные вредоносные пакеты были предназначены для обычных задач, таких как форматирование заголовков, однако они содержали сильно видоизменённый* вредоносный код на JavaScript и Python. Это затрудняло анализ опубликованных в репозитории пакетов. Вредоносная нагрузка пакетов состояла из двух троянских программ — написанного на языке Python троянца Volt Stealer и более функционального троянца на языке JavaScript, получившего название Lofy Stealer.

Атакующие использовали Volt Stealer для кражи с заражённых устройств токенов Discord и IP -адресов жертв и загрузки их через HTTP. Lofy Stealer способен заражать файлы клиента Discord и отслеживать действия жертвы — когда пользователь входит в систему, меняет адрес электронной почты или пароль, включает или отключает многофакторную аутентификацию и добавляет новые способы оплаты. Причём вредонос может отследить полные данные кредитной карты. Собранная информация также загружается на серверы, контролируемые злоумышленниками.

«Разработчики в значительной степени полагаются на репозитории с открытым исходным кодом — они используют их для ускорения и повышения эффективности в процессе создания IT-решений. Однако, кампании, подобные LofyLife, показывают, что даже авторитетным репозиториям нельзя доверять по умолчанию — весь код, который IT-специалисты внедряют в свои продукты, попадает под их собственную ответственность. Мы добавили средства обнаружения нового вредоносного ПО в наши решения, поэтому их пользователи смогут узнать о заражении и удалить вредоносы», — комментирует Леонид Безвершенко, эксперт по кибербезопасности «Лаборатории Касперского».

Продукты «Лаборатории Касперского» детектируют вредоносное ПО LofyLife как Trojan.Python.Lofy.a, Trojan.Script.Lofy.gen .

Подробнее о кампании можно прочитать на Securelist.

* Видоизменённый для усложнения анализа (обфусцированный).



Охота за токенами Discord и данными банковских карт: новая вредоносная кампания распространяется через заражённые пакеты NPM с открытым исходным кодом

26 июля исследователи «Лаборатории Касперского» выявили вредоносную кампанию, получившую название LofyLife
Kaspersky logo

О «Лаборатории Касперского»

«Лаборатория Касперского» — международная компания, работающая в сфере информационной безопасности и цифровой приватности с 1997 года. На сегодняшний день компания защитила более 1 миллиарда устройств от массовых киберугроз и целенаправленных атак, а накопленные ей знания и опыт последовательно трансформируются в инновационные решения и услуги для защиты бизнеса, критически важной инфраструктуры, государственных органов и рядовых пользователей по всему миру. Обширное портфолио «Лаборатории Касперского» включает в себя передовые технологии для защиты конечных устройств, ряд специализированных продуктов и сервисов, а также кибериммунные решения для борьбы со сложными и постоянно эволюционирующими киберугрозами. Мы помогаем 200 тысячам корпоративных клиентов во всём мире защищать самое ценное для них. Подробнее на www.kaspersky.ru.

Похожие статьи Пресс-релизы