Lofy Stealer

Una campagna minacciosa che prende di mira i dati Discord e i token delle sue vittime è stata scoperta dai ricercatori della sicurezza informatica. Le informazioni sull'operazione e sulle minacce malware utilizzate dagli aggressori sono state pubblicate in un rapporto di esperti di malware. Secondo i loro risultati, gli attori delle minacce stanno utilizzando pacchetti npm (Node Package Manager) armati per fornire due diversi malware: un codice Python offuscato che appartiene a una minaccia nota come Volt Stealer e un malware JavaScript chiamato Lofy Stealer. La campagna di attacco nel suo insieme viene tracciata come LofyLife.

I quattro moduli npm corrotti diffusi dagli hacker sono denominati "small-sm", "pern-valids", "lifeculer" o "proc-title". Dopo essere stati eseguiti, rilasceranno il malware associato sul sistema della vittima. Lofy Stealer è progettato specificamente per infettare i file del client Discord dell'utente preso di mira. Ciò consente agli aggressori di monitorare le attività della vittima. Per essere più precisi, Lofy Stealer è in grado di rilevare quando l'utente accede a Discord, se apporta modifiche all'e-mail o alla password relative all'account e se l'autenticazione a più fattori (MFA) è abilitata o disabilitata. Ancora più importante, Lofy Stealer può riconoscere quando gli utenti aggiungono un nuovo metodo di pagamento e raccoglierà tutti i dettagli di pagamento inseriti.

Tutti i dati raccolti vengono quindi trasmessi ai server ospitati da Replit sotto il controllo dell'attore delle minacce. Questi indirizzi dei servizi disponibili sono codificati nelle minacce malware. I ricercatori di Infosec avvertono che nuovi pacchetti npm dannosi potrebbero essere rilasciati dai criminali informatici responsabili dell'operazione LofyLife.