Специалисты «Лаборатории Касперского» обнаружили кампанию LofyLife, в рамках которой распространяются вредоносные npm-пакеты для кражи токенов Discord и данных банковских карт.

Отчет исследователей гласит, что все вредоносные пакеты содержали сильно обфусцированный вредоносный код на Python и JavaScript.

Python-малварь представляла собой модифицированную версию доступного в сети трояна Volt Stealer. Он предназначен для кражи токенов Discord с зараженных устройств и сбора IP-адресов жертв с последующей отправкой по HTTP-протоколу. JavaScript-вредонос, который получил имя Lofy Stealer, заражает файлы клиента Discord, чтобы отслеживать действия жертвы. В частности, он отслеживает вход пользователя в систему, смену адреса электронной почты или пароля, включение/выключение многофакторной аутентификации и добавление новых методов оплаты со всеми данными банковской карты. Собранная информация тоже отправляется на удаленную машину, адрес которой жестко прописан в коде.

Данные отправлялись на адреса, размещенные на Replit:

• life.polarlabs.repl[.]co
• Sock.polarlabs.repl[.]co
• idk.polarlabs.repl[.]co

Атакующие внедрили четыре зараженных Volt Stealer и Lofy Stealer пакета в репозиторий NPM: npm small-sm, pern- valids, lifeculer и proc-title. Все вредоносные пакеты были предназначены для обычных задач, например, форматирование заголовков.

«Разработчики в значительной степени полагаются на репозитории с открытым исходным кодом — они используют их для ускорения и повышения эффективности в процессе создания IT-решений. Однако, кампании, подобные LofyLife, показывают, что даже авторитетным репозиториям нельзя доверять по умолчанию — весь код, который IT-специалисты внедряют в свои продукты, попадает под их собственную ответственность», — комментирует Леонид Безвершенко, эксперт по кибербезопасности «Лаборатории Касперского».

Источник: xakep