Lofy Stealer
网络安全研究人员发现了针对 Discord 数据和受害者代币的威胁性活动。有关攻击者使用的操作和恶意软件威胁的信息已在恶意软件专家的报告中公布。根据他们的调查结果,威胁参与者正在使用武器化的 npm(节点包管理器)包来传递两种不同的恶意软件——一种属于被称为 Volt Stealer 的威胁的混淆 Python 代码和一种名为 Lofy Stealer 的 JavaScript 恶意软件。整个攻击活动被跟踪为 LofyLife。
黑客传播的四个损坏的 npm 模块被命名为“small-sm”、“pern-valids”、“lifeculer”或“proc-title”。执行后,它们会将相关的恶意软件放到受害者的系统上。 Lofy Stealer 专门设计用于感染目标用户的 Discord 客户端文件。这样做可以让攻击者监控受害者的活动。更准确地说,Lofy Stealer 能够检测用户何时登录 Discord,他们是否对与帐户相关的电子邮件或密码进行了任何更改,以及是否启用或禁用了 MFA(多因素身份验证)。更重要的是,Lofy Stealer 可以识别用户何时添加新的付款方式,并收集所有输入的付款详细信息。
然后,所有收集到的数据都将传输到威胁参与者控制下的 Replit 托管服务器。这些可用服务的地址被硬编码到恶意软件威胁中。 Infosec 研究人员警告说,负责 LofyLife 操作的网络犯罪分子可能会发布新的恶意 npm 包。
