Lofy Stealer

Els investigadors de ciberseguretat han descobert una campanya amenaçadora dirigida a les dades i testimonis de Discord de les seves víctimes. La informació sobre l'operació i les amenaces de programari maliciós utilitzades pels atacants es va publicar en un informe d'experts en programari maliciós. Segons les seves troballes, els actors de l'amenaça estan utilitzant paquets npm armats (Node Package Manager) per oferir dos programari maliciós diferents: un codi de Python ofuscat que pertany a una amenaça coneguda com Volt Stealer i un nom de programari maliciós JavaScript Lofy Stealer. La campanya d'atac en conjunt es fa un seguiment com a LofyLife.

Els quatre mòduls npm corruptes difosos pels pirates informàtics s'anomenen "small-sm", "pern-valids", "lifeculer" o "proc-title". Després de ser executats, deixaran caure el programari maliciós associat al sistema de la víctima. El Lofy Stealer està dissenyat específicament per infectar els fitxers del client Discord de l'usuari objectiu. En fer-ho, els atacants poden controlar les activitats de la víctima. Per ser més precisos, Lofy Stealer és capaç de detectar quan l'usuari inicia sessió a Discord, si fa algun canvi al correu electrònic o la contrasenya relacionada amb el compte i si l'MFA (autenticació multifactor) està activada o desactivada. Més important encara, Lofy Stealer pot reconèixer quan els usuaris afegeixen un nou mètode de pagament i recopilarà totes les dades de pagament introduïdes.

Totes les dades recopilades es transmeten a servidors allotjats per Replit sota el control de l'actor de l'amenaça. Aquestes adreces dels serveis disponibles estan codificades en dur a les amenaces de programari maliciós. Els investigadors d'Infosec adverteixen que els cibercriminals responsables de l'operació LofyLife podrien alliberar nous paquets npm maliciosos.