Lofy Stealer

Një fushatë kërcënuese që synon të dhënat e Discord dhe shenjat e viktimave të saj është zbuluar nga studiuesit e sigurisë kibernetike. Informacioni në lidhje me operacionin dhe kërcënimet e malware të përdorura nga sulmuesit u publikua në një raport nga ekspertët e malware. Sipas gjetjeve të tyre, aktorët e kërcënimit po përdorin paketa të armatosura npm (Menaxheri i paketave të nyjeve) për të ofruar dy malware të ndryshëm - një kod Python i turbullt që i përket një kërcënimi të njohur si Volt Stealer dhe një emri të malware JavaScript Lofy Stealer. Fushata e sulmit në tërësi po gjurmohet si LofyLife.

Katër modulet e korruptuara npm të përhapura nga hakerët quhen 'small-sm', 'pern-valids', 'lifeculer' ose 'proc-title'. Pasi të ekzekutohen, ata do të hedhin malware-in e lidhur në sistemin e viktimës. Lofy Stealer është krijuar posaçërisht për të infektuar skedarët e klientit Discord të përdoruesit të synuar. Duke vepruar kështu, sulmuesit mund të monitorojnë aktivitetet e viktimës. Për të qenë më të saktë, Lofy Stealer është në gjendje të zbulojë kur përdoruesi hyn në Discord, nëse ai bën ndonjë ndryshim në emailin ose fjalëkalimin në lidhje me llogarinë dhe nëse MFA (autentifikimi me shumë faktorë) është i aktivizuar ose i çaktivizuar. Më e rëndësishmja, Lofy Stealer mund të njohë kur përdoruesit shtojnë një mënyrë të re pagese dhe do të mbledhë të gjitha detajet e futura të pagesës.

Të gjitha të dhënat e grumbulluara më pas transmetohen në serverët e hostuar nga Replit nën kontrollin e aktorit të kërcënimit. Këto adresa të shërbimeve të disponueshme janë të koduara në kërcënimet e malware. Studiuesit e Infosec paralajmërojnë se paketat e reja me qëllim të keq npm mund të lëshohen nga kriminelët kibernetikë përgjegjës për operacionin LofyLife.