Lofy Stealer

Kempen mengancam yang menyasarkan data Discord dan token mangsanya telah ditemui oleh penyelidik keselamatan siber. Maklumat tentang operasi dan ancaman perisian hasad yang digunakan oleh penyerang telah diterbitkan dalam laporan oleh pakar perisian hasad. Menurut penemuan mereka, pelakon ancaman menggunakan pakej npm (Pengurus Pakej Node) bersenjata untuk menghantar dua perisian hasad berbeza - kod Python yang dikelirukan yang dimiliki oleh ancaman dikenali sebagai Volt Stealer dan nama perisian hasad JavaScript Lofy Stealer. Kempen serangan secara keseluruhan sedang dijejaki sebagai LofyLife.

Empat modul npm rosak yang disebarkan oleh penggodam dinamakan 'small-sm,' 'pern-valid,' 'lifeculer' atau 'proc-title.' Selepas dilaksanakan, mereka akan menggugurkan perisian hasad yang berkaitan pada sistem mangsa. Lofy Stealer direka khusus untuk menjangkiti fail pelanggan Discord pengguna yang disasarkan. Melakukannya membolehkan penyerang memantau aktiviti mangsa. Untuk menjadi lebih tepat, Lofy Stealer mampu mengesan apabila pengguna log masuk ke Discord, jika mereka membuat sebarang perubahan pada e-mel atau kata laluan yang berkaitan dengan akaun dan sama ada MFA (pengesahan berbilang faktor) didayakan atau dilumpuhkan. Lebih penting lagi, Lofy Stealer boleh mengenali apabila pengguna menambah kaedah pembayaran baharu dan akan mengumpulkan semua butiran pembayaran yang dimasukkan.

Semua data yang dituai kemudiannya dihantar ke pelayan yang dihoskan Replit di bawah kawalan pelaku ancaman. Alamat perkhidmatan yang tersedia ini dikodkan keras ke dalam ancaman perisian hasad. Penyelidik Infosec memberi amaran bahawa pakej npm berniat jahat baharu mungkin dikeluarkan oleh penjenayah siber yang bertanggungjawab untuk operasi LofyLife.