Nova zlonamerna kampanja “lovi” Discord tokene i podatke o kreditnoj kartici
Koristeći interni automatizovani sistem za nadgledanje repozitorijuma otvorenog koda, istraživači kompanije Kaspersky su 26. jula otkrili zlonamernu kampanju pod nazivom LofyLife. U njoj su se koristila četiri zlonamerna paketa koja su širila malver Volt Stealer i Lofy Stealer u npm repozitorijumu otvorenog koda kako bi prikupili različite informacije od žrtava, uključujući Discord tokene i podatke o kreditnim karticama, ali i da bi ih nadzirali.
Šta je npm repozitorijum?
Npm repozitorijum je javna kolekcija paketa otvorenog koda koji se široko koriste u front-end veb aplikacijama, mobilnim aplikacijama, robotima i ruterima, a takođe služi i za brojne potrebe JavaScript zajednice. Njegova popularnost čini kampanju LofiLife još opasnijom, jer je potencijalno mogla da utiče na brojne korisnike repozitorijuma.
Identifikovani zlonamerni paketi izgledali su kao paketi koji se koriste za uobičajene zadatke kao što su formatiranje naslova ili neke funkcije u igrama. Međutim, sadržali su veoma dobro maskiran zlonamerni JavaScript i Python kod. To je otežalo njihovo analiziranje prilikom postavljanja u repozitorijum. Zlonamerni softver se sastojao od malvera napisanog u Python-u pod nazivom Volt Stealer i JavaScript malvera nazvanog Lofy Stealer, koji poseduje višestruke mogućnosti.
Discord tokeni na meti
Volt Stealer je korišćen za krađu Discord tokena sa inficiranih mašina zajedno sa IP adresom žrtve i njihovo otpremanje putem HTTP-a. Lofy Stealer, novo oruđe napadača, u stanju je da zarazi datoteke korisnika Discord-a i da nadgleda žrtvu – otkriva kada se korisnik prijavi, promeni podatke e-pošte ili lozinke, omogući ili onemogući višefaktorsku autentifikaciju i doda nove načine plaćanja, uključujući pune podatke o kreditnoj kartici. Prikupljene informacije se takođe otpremaju na udaljenu krajnju tačku.
„Programeri se u velikoj meri oslanjaju na repozitorijume otvorenog koda – koriste ih da bi razvoj IT rešenja bio brži i efikasniji, i oni značajno doprinose razvoju IT industrije u celini. Međutim, kao što kampanja LofyLife pokazuje, čak ni renomiranim repozitorijumima se ne može verovati bez zadrške – svaki softver, uključujući open-source kod, koji programer ubacuje u svoje proizvode postaje njihova odgovornost. Dodali smo detekciju ovog malvera u naše proizvode, tako da će korisnici koji primenjuju naša rešenja moći da otkriju da li su zaraženi i da uklone malver“, komentariše Leonid Bezveršenko, istraživač bezbednosti u Globalnom timu za istraživanje i analizu.
Proizvodi Kaspersky otkrivaju LofyLife malver kao Trojan.Python.Lofy.a, Trojan.Script.Lofy.gen.
Pročitajte više o ovoj kampanji na Securelist-u.