Lofy Stealer

Исследователи кибербезопасности обнаружили угрожающую кампанию, нацеленную на данные Discord и токены его жертв. Информация об операции и вредоносных угрозах, используемых злоумышленниками, была опубликована в отчете экспертов по вредоносным программам. Согласно их выводам, злоумышленники используют вооруженные пакеты npm (Node Package Manager) для доставки двух разных вредоносных программ — запутанного кода Python, принадлежащего угрозе, известной как Volt Stealer, и вредоносной программы JavaScript под названием Lofy Stealer. Кампания нападения в целом отслеживается как LofyLife.

Хакеры распространили четыре поврежденных модуля npm с именами «small-sm», «pern-valids», «lifeculer» или «proc-title». После выполнения они сбрасывают связанное вредоносное ПО в систему жертвы. Lofy Stealer разработан специально для заражения клиентских файлов Discord целевого пользователя. Это позволяет злоумышленникам следить за действиями жертвы. Чтобы быть более точным, Lofy Stealer способен определять, когда пользователь входит в Discord, вносят ли они какие-либо изменения в адрес электронной почты или пароль, связанные с учетной записью, а также включена или отключена MFA (многофакторная аутентификация). Что еще более важно, Lofy Stealer может распознавать, когда пользователи добавляют новый способ оплаты, и собирает все введенные платежные реквизиты.

Затем все собранные данные передаются на серверы, размещенные в Replit, под контролем злоумышленника. Эти адреса доступных серверов жестко закодированы в угрозах вредоносного ПО. Исследователи Infosec предупреждают, что новые вредоносные пакеты npm могут быть выпущены киберпреступниками, ответственными за операцию LofyLife.