• Партнер

  • Специалисты «Лаборатории Касперского» обнаружили кампанию LofyLife, в рамках которой распространяются вредоносные npm-пакеты для кражи токенов Discord и данных банковских карт.

    Отчет исследователей гласит, что  все вредоносные пакеты содержали сильно обфусцированный вредоносный код на Python и JavaScript.

    Python-малварь представляла собой модифицированную версию доступного в сети трояна Volt Stealer. Он предназначен для кражи токенов Discord с зараженных устройств и сбора IP-адресов жертв с последующей отправкой по HTTP-протоколу. JavaScript-вредонос, который получил имя Lofy Stealer, заражает файлы клиента Discord, чтобы отслеживать действия жертвы. В частности, он отслеживает вход пользователя в систему, смену адреса электронной почты или пароля, включение/выключение многофакторной аутентификации и добавление новых методов оплаты со всеми данными банковской карты. Собранная информация тоже отправляется на удаленную машину, адрес которой жестко прописан в коде.

    Данные отправлялись на адреса, размещенные на Replit:

    • life.polarlabs.repl[.]co
    • Sock.polarlabs.repl[.]co
    • idk.polarlabs.repl[.]co

    Атакующие внедрили четыре зараженных  Volt Stealer и Lofy Stealer пакета в репозиторий NPM: npm small-sm, pern- valids, lifeculer и proc-title. Все вредоносные пакеты были предназначены для обычных задач, например, форматирование заголовков.

    «Разработчики в значительной степени полагаются на репозитории с открытым исходным кодом — они используют их для ускорения и повышения эффективности в процессе создания IT-решений. Однако, кампании, подобные LofyLife, показывают, что даже авторитетным репозиториям нельзя доверять по умолчанию — весь код, который IT-специалисты внедряют в свои продукты, попадает под их собственную ответственность», — комментирует Леонид Безвершенко, эксперт по кибербезопасности «Лаборатории Касперского».

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии