Lofy Stealer

كشف باحثو الأمن السيبراني عن حملة تهديد تستهدف بيانات Discord ورموز ضحاياها. تم نشر معلومات حول العملية وتهديدات البرامج الضارة التي استخدمها المهاجمون في تقرير أعده خبراء البرامج الضارة. وفقًا للنتائج التي توصلوا إليها ، يستخدم ممثلو التهديد حزم npm مسلحة (مدير حزمة Node) لتقديم برنامجين ضارين مختلفين - رمز Python المبهم الذي ينتمي إلى تهديد يُعرف باسم Volt Stealer واسم برنامج ضار JavaScript Lofy Stealer. يتم تتبع حملة الهجوم ككل باسم LofyLife.

يتم تسمية وحدات npm الأربعة التالفة التي نشرها المتسللون باسم "small-sm" أو "pern-valids" أو "lifeculer" أو "proc-title". بعد إعدامهم ، سيقومون بإسقاط البرامج الضارة المرتبطة على نظام الضحية. تم تصميم Lofy Stealer خصيصًا لإصابة ملفات عميل Discord للمستخدم المستهدف. القيام بذلك يسمح للمهاجمين بمراقبة أنشطة الضحية. لكي نكون أكثر دقة ، فإن Lofy Stealer قادر على اكتشاف متى يقوم المستخدم بتسجيل الدخول إلى Discord ، إذا أجرى أي تغييرات على البريد الإلكتروني أو كلمة المرور المتعلقة بالحساب ، وما إذا كان MFA (المصادقة متعددة العوامل) ممكّنة أو معطلة. الأهم من ذلك ، يمكن لـ Lofy Stealer التعرف على الوقت الذي يضيف فيه المستخدمون طريقة دفع جديدة وسيجمع كل تفاصيل الدفع التي تم إدخالها.

يتم بعد ذلك إرسال جميع البيانات التي تم حصادها إلى الخوادم المستضافة بواسطة Replit تحت سيطرة ممثل التهديد. يتم ترميز عناوين الخدمات المتوفرة هذه في تهديدات البرامج الضارة. يحذر باحثو Infosec من أن حزم npm الخبيثة الجديدة قد يتم إصدارها من قبل مجرمي الإنترنت المسؤولين عن عملية LofyLife.