Hace dos días, el 26 de julio, los investigadores de Kaspersky descubrieron una nueva campaña maliciosa llamada 'LofyLife' que usaba el sistema automatizado interno de monitoreo de repositorios de código abierto. La colección pública de paquetes de código fuente abierto se ve comprometida.
La campaña utiliza cuatro paquetes maliciosos que propagan el malware 'Volt Stealer' y 'Lofy Stealer' en el repositorio de código abierto npm. Recopilan diversa información de sus víctimas, incluidos tokens de Discord e información de tarjetas de crédito, y las espían con el tiempo.
Paquetes de código fuente abierto infectados
El repositorio npm es una colección pública de paquetes de código fuente abierto que se usan ampliamente en aplicaciones web front-end, aplicaciones móviles, robots y enrutadores, y también satisfacen innumerables necesidades de la comunidad de JavaScript. La popularidad de este repositorio hace que la campaña de LofyLife sea aún más peligrosa, ya que podría afectar a numerosos usuarios del repositorio.
Los repositorios maliciosos identificados parecían ser paquetes utilizados para tareas comunes como formatear titulares o ciertas funciones del juego. Sin embargo, contenían código JavaScript y Python malicioso muy ofuscado. Esto dificultó el análisis al cargar en el repositorio. La carga útil maliciosa consistía en el malware Volt Stealer, escrito en Python, y el malware JavaScript Lofy Stealer, que tiene muchas funciones.
Se buscan: tokens de Discord y detalles de tarjetas de crédito
Volt Stealer se usó para robar tokens de Discord y las direcciones IP de las víctimas de las computadoras infectadas y cargarlas a través de HTTP. Un nuevo desarrollo de los atacantes, el ladrón Lofy puede infectar archivos de clientes de Discord y monitorear las acciones de la víctima. El malware detecta cuando un usuario inicia sesión, cambia los detalles de correo electrónico o contraseña, habilita o deshabilita la autenticación multifactor y agrega nuevos métodos de pago, incluidos los detalles completos de la tarjeta de crédito. La información recopilada también se carga en el punto final remoto.
Leonid Bezvershenko, investigador de seguridad en el equipo de investigación y análisis global de Kaspersky (GReAT) comenta sobre la campaña detectada de la siguiente manera:
“Los desarrolladores confían en gran medida en los repositorios de código fuente abierto: los utilizan para hacer que el desarrollo de soluciones de TI sea más rápido y eficiente. En general, hacen una contribución significativa al desarrollo de la industria de TI. Sin embargo, como muestra la campaña de LofyLife, ni siquiera se puede confiar en los repositorios de buena reputación de forma predeterminada: cualquier código que un desarrollador incluya en sus productos, incluido el código de fuente abierta, es su responsabilidad. Hemos agregado identificadores de este malware a nuestros productos para que los usuarios que utilizan nuestras soluciones puedan determinar si han sido infectados y eliminar el malware". Los productos de Kaspersky detectan el malware LofyLife como Trojan.Python.Lofy.a, Trojan .Script.Lofy.gen .
Más en Kaspersky.com
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/