Мошенники продолжают охоту за данными банковских карт
Новая вредоносная кампания распространяется через заражённые пакеты NPM с открытым исходным кодом.
Злоумышленники охотятся за токенами пользователей Discord и связанными данными банковских карт, а также отслеживают действия своих жертв. Об этом стало известно исследователям "Лаборатории Касперского", которые выявили вредоносную кампанию, получившую название LofyLife. Атакующие использовали четыре зараженных пакета, распространяющие вредоносные программы Volt Stealer и Lofy Stealer в репозитории с открытым исходным кодом NPM.
Почему это вызывает опасения? NPM-репозиторий — общедоступная коллекция пакетов с открытым исходным кодом, широко используемых во внешних веб-приложениях, мобильных приложениях, роботах и роутерах, а также для различных нужд сообщества JavaScript. Его популярность повышает опасность кампании LofyLife, так как затронуть она может много пользователей.
Также вредоносные пакеты предназначены для обычных задач, таких как форматирование заголовков, но они содержали сильно видоизмененный вредоносный код на JavaScript и Python. Это затрудняло анализ.
Атакующие использовали Volt Stealer для кражи с заражённых устройств токенов Discord и IP-адресов жертв и загрузки их через HTTP. Lofy Stealer способен заражать файлы клиента Discord и отслеживать действия жертвы — когда пользователь входит в систему, меняет адрес электронной почты или пароль, включает или отключает многофакторную аутентификацию и добавляет новые способы оплаты. Причём вредонос может отследить полные данные кредитной карты. Собранная информация также загружается на сервера, контролируемые злоумышленниками.
"Разработчики в значительной степени полагаются на репозитории с открытым исходным кодом — они используют их для ускорения и повышения эффективности в процессе создания IT-решений. Однако, кампании, подобные LofyLife, показывают, что даже авторитетным репозиториям нельзя доверять по умолчанию — весь код, который IT-специалисты внедряют в свои продукты, попадает под их собственную ответственность. Мы добавили средства обнаружения нового вредоносного ПО в наши решения, поэтому их пользователи смогут узнать о заражении и удалить вредоносы", — комментирует Леонид Безвершенко, эксперт по кибербезопасности "Лаборатории Касперского".
Продукты "Лаборатории Касперского" детектируют вредоносное ПО LofyLife как Trojan.Python.Lofy.a, Trojan.Script.Lofy.gen.