Lofy Stealer

Discord 데이터와 피해자의 토큰을 노리는 위협적인 캠페인이 사이버 보안 연구원에 의해 밝혀졌습니다. 공격자가 사용하는 작업 및 악성 코드 위협에 대한 정보는 악성 코드 전문가의 보고서에 게시되었습니다. 그들의 발견에 따르면, 위협 행위자들은 무기화된 npm(노드 패키지 관리자) 패키지를 사용하여 두 가지 다른 멀웨어, 즉 Volt Stealer로 알려진 위협에 속하는 난독화된 Python 코드와 JavaScript 멀웨어 이름 Lofy Stealer를 전달하고 있습니다. 전체 공격 캠페인은 LofyLife로 추적되고 있습니다.

해커가 퍼뜨린 4개의 손상된 npm 모듈의 이름은 'small-sm', 'pern-valids', 'lifeculer' 또는 'proc-title'입니다. 실행된 후 관련 악성코드를 피해자의 시스템에 떨어뜨립니다. Lofy Stealer는 대상 사용자의 Discord 클라이언트 파일을 감염시키도록 특별히 설계되었습니다. 이렇게 하면 공격자가 피해자의 활동을 모니터링할 수 있습니다. 더 정확하게 말하면 Lofy Stealer는 사용자가 Discord에 로그인할 때 계정과 관련된 이메일 또는 비밀번호를 변경했는지, MFA(다단계 인증)가 활성화 또는 비활성화되었는지 감지할 수 있습니다. 더 중요한 것은 Lofy Stealer는 사용자가 새로운 결제 수단을 추가할 때 이를 인식하고 입력된 모든 결제 세부 정보를 수집한다는 것입니다.

수집된 모든 데이터는 위협 행위자의 제어 하에 있는 Replit 호스팅 서버로 전송됩니다. 사용 가능한 서비스의 이러한 주소는 맬웨어 위협에 하드 코딩됩니다. Infosec 연구원은 LofyLife 운영을 담당하는 사이버 범죄자가 새로운 악성 npm 패키지를 출시할 수 있다고 경고합니다.