Специалисты «Лаборатории Касперского» обнаружили кампанию LofyLife, в рамках которой распространяются вредоносные npm-пакеты для кражи токенов Discord и данных банковских карт.
Отчет исследователей гласит, что все вредоносные пакеты содержали сильно обфусцированный вредоносный код на Python и jаvascript.
Python-малварь представляла собой модифицированную версию доступного в сети трояна Volt Stealer. Он предназначен для кражи токенов Discord с зараженных устройств и сбора IP-адресов жертв с последующей отправкой по HTTP-протоколу. jаvascript-вредонос, который получил имя Lofy Stealer, заражает файлы клиента Discord, чтобы отслеживать действия жертвы. В частности, он отслеживает вход пользователя в систему, смену адреса электронной почты или пароля, включение/выключение многофакторной аутентификации и добавление новых методов оплаты со всеми данными банковской карты. Собранная информация тоже отправляется на удаленную машину, адрес которой жестко прописан в коде.
Данные отправлялись на адреса, размещенные на Replit:
• life.polarlabs.repl[.]co
• Sock.polarlabs.repl[.]co
• idk.polarlabs.repl[.]co
Атакующие внедрили четыре зараженных Volt Stealer и Lofy Stealer пакета в репозиторий NPM: npm small-sm, pern- valids, lifeculer и proc-title. Все вредоносные пакеты были предназначены для обычных задач, например, форматирование заголовков.
«Разработчики в значительной степени полагаются на репозитории с открытым исходным кодом — они используют их для ускорения и повышения эффективности в процессе создания IT-решений. Однако, кампании, подобные LofyLife, показывают, что даже авторитетным репозиториям нельзя доверять по умолчанию — весь код, который IT-специалисты внедряют в свои продукты, попадает под их собственную ответственность», — комментирует Леонид Безвершенко, эксперт по кибербезопасности «Лаборатории Касперского».
Отчет исследователей гласит, что все вредоносные пакеты содержали сильно обфусцированный вредоносный код на Python и jаvascript.
Python-малварь представляла собой модифицированную версию доступного в сети трояна Volt Stealer. Он предназначен для кражи токенов Discord с зараженных устройств и сбора IP-адресов жертв с последующей отправкой по HTTP-протоколу. jаvascript-вредонос, который получил имя Lofy Stealer, заражает файлы клиента Discord, чтобы отслеживать действия жертвы. В частности, он отслеживает вход пользователя в систему, смену адреса электронной почты или пароля, включение/выключение многофакторной аутентификации и добавление новых методов оплаты со всеми данными банковской карты. Собранная информация тоже отправляется на удаленную машину, адрес которой жестко прописан в коде.
Данные отправлялись на адреса, размещенные на Replit:
• life.polarlabs.repl[.]co
• Sock.polarlabs.repl[.]co
• idk.polarlabs.repl[.]co
Атакующие внедрили четыре зараженных Volt Stealer и Lofy Stealer пакета в репозиторий NPM: npm small-sm, pern- valids, lifeculer и proc-title. Все вредоносные пакеты были предназначены для обычных задач, например, форматирование заголовков.
«Разработчики в значительной степени полагаются на репозитории с открытым исходным кодом — они используют их для ускорения и повышения эффективности в процессе создания IT-решений. Однако, кампании, подобные LofyLife, показывают, что даже авторитетным репозиториям нельзя доверять по умолчанию — весь код, который IT-специалисты внедряют в свои продукты, попадает под их собственную ответственность», — комментирует Леонид Безвершенко, эксперт по кибербезопасности «Лаборатории Касперского».
