Nova zlonamerna kampanja “lovi” Discord tokene i podatke o kreditnoj kartici

28. 07. 2022. PC Press

Koristeći interni automatizovani sistem za nadgledanje repozitorijuma otvorenog koda, istraživači kompanije Kaspersky su 26. jula otkrili zlonamernu kampanju pod nazivom LofyLife. U njoj su se koristila četiri zlonamerna paketa koja su širila malver Volt Stealer i Lofy Stealer u npm repozitorijumu otvorenog koda kako bi prikupili različite informacije od žrtava, uključujući Discord tokene i podatke o kreditnim karticama, ali i da bi ih nadzirali.

Šta je npm repozitorijum?

Npm repozitorijum je javna kolekcija paketa otvorenog koda koji se široko koriste u front-end veb aplikacijama, mobilnim aplikacijama, robotima i ruterima, a takođe služi i za brojne potrebe JavaScript zajednice. Njegova popularnost čini kampanju LofiLife još opasnijom, jer je potencijalno mogla da utiče na brojne korisnike repozitorijuma.

Identifikovani zlonamerni paketi izgledali su kao paketi koji se koriste za uobičajene zadatke kao što su formatiranje naslova ili neke funkcije u igrama. Međutim, sadržali su veoma dobro maskiran zlonamerni JavaScript i Python kod. To je otežalo njihovo analiziranje prilikom postavljanja u repozitorijum. Zlonamerni softver se sastojao od malvera napisanog u Python-u pod nazivom Volt Stealer i JavaScript malvera nazvanog Lofy Stealer, koji poseduje višestruke mogućnosti.

Pročitajte i: Automatizacija u sajber bezbednosti: spas za kompanije ili zgodna prilika za sajber kriminalce

Discord tokeni na meti

Volt Stealer je korišćen za krađu Discord tokena sa inficiranih mašina zajedno sa IP adresom žrtve i njihovo otpremanje putem HTTP-a. Lofy Stealer, novo oruđe napadača, u stanju je da zarazi datoteke korisnika Discord-a i da nadgleda žrtvu – otkriva kada se korisnik prijavi, promeni podatke e-pošte ili lozinke, omogući ili onemogući višefaktorsku autentifikaciju i doda nove načine plaćanja, uključujući pune podatke o kreditnoj kartici. Prikupljene informacije se takođe otpremaju na udaljenu krajnju tačku.

„Programeri se u velikoj meri oslanjaju na repozitorijume otvorenog koda – koriste ih da bi razvoj IT rešenja bio brži i efikasniji, i oni značajno doprinose razvoju IT industrije u celini. Međutim, kao što kampanja LofyLife pokazuje, čak ni renomiranim repozitorijumima se ne može verovati bez zadrške – svaki softver, uključujući open-source kod, koji programer ubacuje u svoje proizvode postaje njihova odgovornost. Dodali smo detekciju ovog malvera u naše proizvode, tako da će korisnici koji primenjuju naša rešenja moći da otkriju da li su zaraženi i da uklone malver“, komentariše Leonid Bezveršenko, istraživač bezbednosti u Globalnom timu za istraživanje i analizu.

Pročitajte i: Korisnici Gugla, Fejsbuka i Amazona bili su najčešća meta krađe kredencijala tokom 2024.

Proizvodi Kaspersky otkrivaju LofyLife malver kao Trojan.Python.Lofy.a, Trojan.Script.Lofy.gen.

Pročitajte više o ovoj kampanji na Securelist-u.

Facebook komentari: