Lofy Stealer

Kyberturvallisuustutkijat ovat paljastaneet uhkaavan kampanjan, joka kohdistuu Discord-dataan ja sen uhrien tokeneihin. Tietoa toiminnasta ja hyökkääjien käyttämistä haittaohjelmauhkista on julkaistu haittaohjelmaasiantuntijoiden raportissa. Havaintojensa mukaan uhkatoimijat käyttävät aseistettuja npm (Node Package Manager) -paketteja toimittaakseen kahta eri haittaohjelmaa - hämärän Python-koodin, joka kuuluu Volt Stealer -nimiseen uhkaan, ja JavaScript-haittaohjelman nimeä Lofy Stealer. Koko hyökkäyskampanjaa seurataan nimellä LofyLife.

Hakkereiden levittämät neljä vioittunutta npm-moduulia on nimeltään "small-sm", "pern-valids", "lifeculer" tai "proc-title". Teloituksen jälkeen he pudottavat siihen liittyvät haittaohjelmat uhrin järjestelmään. Lofy Stealer on suunniteltu erityisesti saastuttamaan kohteena olevan käyttäjän Discord-asiakastiedostoja. Näin hyökkääjät voivat seurata uhrin toimintaa. Tarkemmin sanottuna Lofy Stealer pystyy havaitsemaan, milloin käyttäjä kirjautuu sisään Discordiin, tekeekö hän muutoksia tiliin liittyvään sähköpostiin tai salasanaan ja onko MFA (multi-factor authentication) käytössä vai pois käytöstä. Vielä tärkeämpää on, että Lofy Stealer tunnistaa, kun käyttäjät lisäävät uuden maksutavan, ja kerää kaikki syötetyt maksutiedot.

Kaikki kerätyt tiedot siirretään sitten Replit-isännöimille palvelimille uhkatekijän hallinnassa. Nämä käytettävissä olevien palveluiden osoitteet on koodattu haittaohjelmauhkiin. Infosecin tutkijat varoittavat, että LofyLife-toiminnasta vastuussa olevat kyberrikolliset saattavat vapauttaa uusia haitallisia npm-paketteja.