Lofy Stealer

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch đe dọa nhắm vào dữ liệu Discord và mã thông báo của nạn nhân. Thông tin về hoạt động và các mối đe dọa phần mềm độc hại mà những kẻ tấn công sử dụng đã được các chuyên gia phần mềm độc hại công bố trong một báo cáo. Theo phát hiện của họ, các tác nhân đe dọa đang sử dụng các gói npm (Trình quản lý gói nút) được vũ khí hóa để phân phối hai phần mềm độc hại khác nhau - một mã Python bị xáo trộn thuộc về mối đe dọa được gọi là Kẻ trộm Volt và phần mềm độc hại JavaScript tên Lofy Stealer. Toàn bộ chiến dịch tấn công đang được theo dõi dưới tên LofyLife.

Bốn mô-đun npm bị hỏng do tin tặc phát tán được đặt tên là 'small-sm', 'pern-valids,' 'liveseculer' hoặc 'proc-title.' Sau khi được thực thi, chúng sẽ thả phần mềm độc hại liên quan vào hệ thống của nạn nhân. Lofy Stealer được thiết kế đặc biệt để lây nhiễm các tệp khách hàng Discord của người dùng được nhắm mục tiêu. Làm như vậy cho phép những kẻ tấn công giám sát các hoạt động của nạn nhân. Nói chính xác hơn, Lofy Stealer có khả năng phát hiện khi người dùng đăng nhập vào Discord, nếu họ thực hiện bất kỳ thay đổi nào đối với email hoặc mật khẩu liên quan đến tài khoản và liệu MFA (xác thực đa yếu tố) được bật hay tắt. Quan trọng hơn, Lofy Stealer có thể nhận ra khi người dùng thêm phương thức thanh toán mới và sẽ thu thập tất cả các chi tiết thanh toán đã nhập.

Tất cả dữ liệu thu thập được sau đó sẽ được truyền đến các máy chủ được lưu trữ bởi Replit dưới sự kiểm soát của tác nhân đe dọa. Các địa chỉ phục vụ có sẵn này được mã hóa cứng thành các mối đe dọa phần mềm độc hại. Các nhà nghiên cứu của Infosec cảnh báo rằng các gói npm độc hại mới có thể được phát hành bởi tội phạm mạng chịu trách nhiệm về hoạt động của LofyLife.