Lofy Stealer

En hotfull kampanj riktad mot Discord-data och tokens från dess offer har avslöjats av cybersäkerhetsforskare. Information om operationen och de skadliga hoten som angriparna använde publicerades i en rapport från experter på skadlig programvara. Enligt deras upptäckter använder hotaktörerna beväpnade npm (Node Package Manager)-paket för att leverera två olika skadliga program - en fördunklad Python-kod som tillhör ett hot som kallas Volt Stealer och ett JavaScript-programnamn Lofy Stealer. Attackkampanjen som helhet spåras som LofyLife.

De fyra korrupta npm-modulerna som sprids av hackarna heter 'small-sm', 'pern-valids', 'lifeculer' eller 'proc-title'. Efter att ha avrättats kommer de att släppa den tillhörande skadliga programvaran på offrets system. Lofy Stealer är designad specifikt för att infektera den riktade användarens Discord-klientfiler. Genom att göra det kan angriparna övervaka offrets aktiviteter. För att vara mer exakt kan Lofy Stealer upptäcka när användaren loggar in på Discord, om de gör några ändringar i e-postadressen eller lösenordet relaterat till kontot, och om MFA (multifaktorautentisering) är aktiverat eller inaktiverat. Ännu viktigare, Lofy Stealer kan känna igen när användare lägger till en ny betalningsmetod och kommer att samla in alla angivna betalningsuppgifter.

All insamlad data överförs sedan till Replit-värdade servrar under hotaktörens kontroll. Dessa adresser till de tillgängliga tjänsterna är hårdkodade i hoten mot skadlig programvara. Infosec-forskare varnar för att nya skadliga npm-paket kan släppas av de cyberbrottslingar som är ansvariga för LofyLife-operationen.