3 august 2022

Pe 26 iulie, folosind sistemul automatizat, intern, pentru monitorizarea depozitelor open-source, cercetatorii Kaspersky au identificat o campanie rau intentionata denumita LofyLife. Campania a folosit 4 pachete rau intentionate care raspandesc malware Volt Stealer si Lofy Stealer in depozitul open-source npm pentru a aduna diverse informatii de la victime, inclusiv token-uri Discord si informatii despre cardul de credit, si pentru a le spiona ulterior.

Depozitul npm este o colectie publica de pachete de cod open-source utilizate pe scara larga in aplicatii web front-end, aplicatii mobile, roboti si routere si, de asemenea, pentru a servi nenumarate nevoi ale comunitatii JavaScript. Popularitatea sa face campania LofyLife si mai periculoasa, deoarece ar fi putut afecta multi utilizatori ai depozitului.

Arhivele rau intentionate identificate pareau a fi pachete utilizate pentru sarcini obisnuite, cum ar fi formatarea titlurilor sau anumite functii de gaming, cu toate acestea, contineau coduri JavaScript si Python rau intentionate, foarte periculoase. Acest lucru le-a facut mai greu de analizat atunci o data incarcate in depozit. Sarcina utila rau intentionata a constat intr-un program malware scris in Python, denumit Volt Stealer, si un program malware JavaScript numit Lofy Stealer, cu numeroase functii.

Volt Stealer a fost folosit pentru a fura token-uri Discord de la echipamentele infectate, impreuna cu adresa IP a victimei, si pentru a le incarca prin HTTP. Lofy Stealer, o noua creatie a atacatorilor, este capabil sa infecteze fisierele clientului Discord si sa monitorizeze actiunile victimei – detectand cand un utilizator se conecteaza, schimba detaliile legate de e-mail sau parola, activeaza sau dezactiveaza autentificarea prin mai multi factori si adauga noi metode de plata, inclusiv detaliile complete ale cardului de credit. Informatiile colectate sunt, de asemenea, incarcate la nivelul endpoint, la distanta.

Produsele Kaspersky detecteaza programele malware LofyLife ca Trojan.Python.Lofy.a, Trojan.Script.Lofy.gen.

Cititi mai multe detalii pe Securelist.

Despre Kaspersky

Kaspersky este o companie globala de securitate cibernetica si confidentialitate digitala fondata in 1997. Expertiza Kaspersky in domeniul amenintarilor si al securitatii informatice se transforma constant in solutii si servicii de securitate inovatoare pentru a proteja companiile, infrastructura critica, guvernele si clientii individuali din intreaga lume. Portofoliul cuprinzator de securitate al companiei include protectie endpoint si o serie de solutii si servicii de securitate specializate pentru a lupta impotriva amenintarilor digitale sofisticate si in permanenta evolutie. Peste 400 de milioane de utilizatori sunt protejati de tehnologiile Kaspersky si ajutam 240.000 de clienti corporativi sa protejeze ceea ce conteaza cel mai mult pentru ei. Aflati mai multe pe www.kaspersky.com.

Source