Carduri virusate. Un malware infectează fişiere şi află când utilizatorul schimbă parola

Cercetătorii Kaspersky au identificat o campanie rău intenţionată denumită LofyLife. Campania a folosit 4 pachete rău intenţionate care răspândesc malware Volt Stealer şi Lofy Stealer în depozitul open-source npm pentru a aduna diverse informaţii de la victime, inclusiv token-uri Discord şi informaţii despre cardul de credit, şi pentru a le spiona ulterior.

Depozitul npm este o colecţie publică de pachete de cod open-source utilizate pe scară largă în aplicaţii web front-end, aplicaţii mobile, roboţi şi routere şi, de asemenea, pentru a servi nenumărate nevoi ale comunităţii JavaScript. Popularitatea sa face campania LofyLife şi mai periculoasă, deoarece ar fi putut afecta mulţi utilizatori ai depozitului.

Arhivele rău intenţionate identificate păreau a fi pachete utilizate pentru sarcini obişnuite, cum ar fi formatarea titlurilor sau anumite funcţii de gaming, cu toate acestea, conţineau coduri JavaScript şi Python rău intenţionate, foarte periculoase. Acest lucru le-a făcut mai greu de analizat atunci o dată încărcate în depozit. Sarcina utilă rău intenţionată a constat într-un program malware scris în Python, denumit Volt Stealer, şi un program malware JavaScript numit Lofy Stealer, cu numeroase funcţii.

Volt Stealer a fost folosit pentru a fura token-uri Discord de la echipamentele infectate, împreună cu adresa IP a victimei, şi pentru a le încărca prin HTTP. Lofy Stealer, o nouă creaţie a atacatorilor, este capabil să infecteze fişierele clientului Discord şi să monitorizeze acţiunile victimei - detectând când un utilizator se conectează, schimbă detaliile legate de e-mail sau parolă, activează sau dezactivează autentificarea prin mai mulţi factori şi adaugă noi metode de plată, inclusiv detaliile complete ale cardului de credit. Informaţiile colectate sunt, de asemenea, încărcate la nivelul endpoint, la distanţă.