Lofy Stealer

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญที่คุกคามข้อมูล Discord และโทเค็นของเหยื่อ ข้อมูลเกี่ยวกับการดำเนินการและภัยคุกคามมัลแวร์ที่ใช้โดยผู้โจมตีได้รับการเผยแพร่ในรายงานโดยผู้เชี่ยวชาญด้านมัลแวร์ จากการค้นพบของพวกเขา ผู้คุกคามกำลังใช้แพ็คเกจ npm ที่เป็นอาวุธ (Node Package Manager) เพื่อส่งมัลแวร์สองชนิดที่แตกต่างกัน - รหัส Python ที่สับสนซึ่งเป็นของภัยคุกคามที่เรียกว่า Volt Stealer และมัลแวร์ JavaScript ชื่อ Lofy Stealer แคมเปญการโจมตีโดยรวมกำลังถูกติดตามในชื่อ LofyLife

โมดูล npm ที่เสียหายทั้งสี่ที่แพร่กระจายโดยแฮกเกอร์มีชื่อว่า 'small-sm' 'pern-valids' 'lifeculer' หรือ 'proc-title' หลังจากดำเนินการแล้ว พวกเขาจะปล่อยมัลแวร์ที่เกี่ยวข้องในระบบของเหยื่อ Lofy Stealer ได้รับการออกแบบมาโดยเฉพาะเพื่อแพร่เชื้อไปยังไฟล์ไคลเอ็นต์ Discord ของผู้ใช้ที่เป็นเป้าหมาย การทำเช่นนี้ทำให้ผู้โจมตีสามารถติดตามกิจกรรมของเหยื่อได้ เพื่อให้แม่นยำยิ่งขึ้น Lofy Stealer สามารถตรวจจับได้เมื่อผู้ใช้ลงชื่อเข้าใช้ Discord หากพวกเขาทำการเปลี่ยนแปลงใดๆ กับอีเมลหรือรหัสผ่านที่เกี่ยวข้องกับบัญชี และไม่ว่าจะเปิดหรือปิดใช้งาน MFA (การตรวจสอบสิทธิ์แบบหลายปัจจัย) หรือไม่ ที่สำคัญกว่านั้น Lofy Stealer สามารถรับรู้ได้เมื่อผู้ใช้เพิ่มวิธีการชำระเงินใหม่และจะรวบรวมรายละเอียดการชำระเงินที่ป้อนทั้งหมด

ข้อมูลที่รวบรวมทั้งหมดจะถูกส่งไปยังเซิร์ฟเวอร์ที่โฮสต์ซ้ำภายใต้การควบคุมของผู้คุกคาม ที่อยู่ของบริการที่มีอยู่เหล่านี้ถูกฮาร์ดโค้ดในภัยคุกคามมัลแวร์ นักวิจัยของ Infosec เตือนว่าแพ็คเกจ npm ที่เป็นอันตรายใหม่อาจถูกปล่อยโดยอาชญากรไซเบอร์ที่รับผิดชอบในการดำเนินการ LofyLife