Охота за токенами Discord и данными банковских карт: новая вредоносная кампания распространяется через заражённые пакеты NPM с открытым исходным кодом

29.07.2022
Охота за токенами Discord и данными банковских карт: новая вредоносная кампания распространяется через заражённые пакеты NPM с открытым исходным кодом

26 июля исследователи «Лаборатории Касперского» выявили вредоносную кампанию, получившую название LofyLife. Злоумышленники охотились за токенами пользователей Discord и данными банковских карт, привязанных к их аккаунтам, а также отслеживали действия своих жертв. Атакующие использовали четыре заражённых пакета, распространяющие вредоносные программы Volt Stealer и Lofy Stealer в репозитории с открытым исходным кодом NPM.

NPM-репозиторий — это общедоступная коллекция пакетов с открытым исходным кодом, широко используемых во внешних веб-приложенияхмобильных приложенияхроботах и роутерах, а также для различных нужд сообщества JavaScript. Популярность репозитория повышает опасность кампании LofyLife, поскольку она могла затронуть многочисленных пользователей репозитория.

Выявленные вредоносные пакеты были предназначены для обычных задач, таких как форматирование заголовков, однако они содержали сильно видоизменённый* вредоносный код на JavaScript и Python. Это затрудняло анализ опубликованных в репозитории пакетов. Вредоносная нагрузка пакетов состояла из двух троянских программ — написанного на языке Python троянца Volt Stealer и более функционального троянца на языке JavaScript, получившего название Lofy Stealer.

Атакующие использовали Volt Stealer для кражи с заражённых устройств токенов Discord и IP-адресов жертв и загрузки их через HTTP. Lofy Stealer способен заражать файлы клиента Discord и отслеживать действия жертвы — когда пользователь входит в систему, меняет адрес электронной почты или пароль, включает или отключает многофакторную аутентификацию и добавляет новые способы оплаты. Причём вредонос может отследить полные данные кредитной карты. Собранная информация также загружается на серверы, контролируемые злоумышленниками.

«Разработчики в значительной степени полагаются на репозитории с открытым исходным кодом — они используют их для ускорения и повышения эффективности в процессе создания IT-решений. Однако, кампании, подобные LofyLife, показывают, что даже авторитетным репозиториям нельзя доверять по умолчанию — весь код, который IT-специалисты внедряют в свои продукты, попадает под их собственную ответственность. Мы добавили средства обнаружения нового вредоносного ПО в наши решения, поэтому их пользователи смогут узнать о заражении и удалить вредоносы», — комментирует Леонид Безвершенко, эксперт по кибербезопасности «Лаборатории Касперского».

Продукты «Лаборатории Касперского» детектируют вредоносное ПО LofyLife как Trojan.Python.Lofy.a, Trojan.Script.Lofy.gen.

Подробнее о кампании можно прочитать на Securelist.

* Видоизменённый для усложнения анализа (обфусцированный).

erid: 2SDnjcLt8zP erid: 2SDnjcLt8zP

Популярные материалы