Lofy Stealer

Kiberbiztonsági kutatók fenyegető kampányra bukkantak, amely a Discord adatait és áldozatainak tokenjeit célozza. A műveletről és a támadók által használt kártevő-fenyegetésekről a kártevők szakértői jelentésben tettek közzé információkat. Megállapításaik szerint a fenyegetés szereplői fegyveres npm (Node Package Manager) csomagokat használnak, hogy két különböző rosszindulatú programot szállítsanak: egy rejtett Python kódot, amely a Volt Stealer néven ismert fenyegetéshez tartozik, és egy JavaScript rosszindulatú programot, Lofy Stealer nevet. A támadási kampány egészét LofyLife néven követik nyomon.

A hackerek által terjesztett négy sérült npm modul neve "small-sm", "pern-valids", "lifeculer" vagy "proc-title". A végrehajtást követően eldobják a kapcsolódó kártevőt az áldozat rendszerén. A Lofy Stealer kifejezetten a megcélzott felhasználó Discord kliens fájljainak megfertőzésére készült. Ez lehetővé teszi a támadók számára, hogy figyelemmel kísérjék az áldozat tevékenységét. Pontosabban, a Lofy Stealer képes észlelni, hogy a felhasználó mikor jelentkezik be a Discordba, ha módosítja a fiókhoz kapcsolódó e-mail-címét vagy jelszavát, és hogy az MFA (multi-factor authentication) be van-e kapcsolva vagy letiltva. Ennél is fontosabb, hogy a Lofy Stealer felismeri, ha a felhasználók új fizetési módot adnak hozzá, és összegyűjti az összes megadott fizetési adatot.

Az összes begyűjtött adat ezután a Replit által üzemeltetett szerverekre kerül a fenyegetettség szereplőjének irányítása alatt. Az elérhető kiszolgálók ezen címei be vannak kódolva a rosszindulatú programokba. Az Infosec kutatói arra figyelmeztetnek, hogy a LofyLife-műveletért felelős kiberbűnözők új rosszindulatú npm-csomagokat bocsáthatnak ki.