Il y a deux jours, le 26 juillet, les chercheurs de Kaspersky ont découvert une nouvelle campagne malveillante appelée "LofyLife" utilisant le système automatisé interne de surveillance des référentiels open source. La collection publique de packages de code open source est ainsi compromise.
La campagne utilise quatre packages malveillants qui font proliférer les logiciels malveillants « Volt Stealer » et « Lofy Stealer » dans le référentiel open source npm. Ils collectent diverses informations sur leurs victimes, notamment des jetons Discord et des informations de carte de crédit, et les espionnent au fil du temps.
Paquets de code open source infectés
Le référentiel npm est une collection publique de packages de code open source largement utilisés dans les applications Web frontales, les applications mobiles, les robots et les routeurs, et répond également à une myriade de besoins de la communauté JavaScript. La popularité de ce référentiel rend la campagne LofyLife encore plus dangereuse car elle pourrait potentiellement affecter de nombreux utilisateurs du référentiel.
Les référentiels malveillants identifiés semblaient être des packages utilisés pour des tâches courantes telles que le formatage des titres ou certaines fonctionnalités du jeu. Cependant, ils contenaient du code JavaScript et Python malveillant fortement obscurci. Cela a rendu difficile l'analyse lors du téléchargement vers le référentiel. La charge utile malveillante se composait du malware Volt Stealer, écrit en Python, et du malware JavaScript Lofy Stealer, qui possède de nombreuses fonctionnalités.
Recherché : jetons Discord et détails de la carte de crédit
Volt Stealer a été utilisé pour voler les jetons Discord et les adresses IP des victimes des ordinateurs infectés et les télécharger via HTTP. Nouveau développement des attaquants, le voleur Lofy peut infecter les fichiers des clients Discord et surveiller les actions de la victime. Le logiciel malveillant détecte lorsqu'un utilisateur se connecte, modifie les détails de l'e-mail ou du mot de passe, active ou désactive l'authentification multifacteur et ajoute de nouvelles méthodes de paiement, y compris les détails complets de la carte de crédit. Les informations collectées sont également téléchargées sur le point de terminaison distant.
Leonid Bezvershenko, chercheur en sécurité au sein de l'équipe mondiale de recherche et d'analyse (GReAT) de Kaspersky, commente la campagne détectée comme suit :
« Les développeurs s'appuient fortement sur les référentiels de code open source - ils les utilisent pour rendre le développement de solutions informatiques plus rapide et plus efficace. Dans l'ensemble, ils apportent une contribution significative au développement de l'industrie informatique. Cependant, comme le montre la campagne LofyLife, même les référentiels réputés ne sont pas fiables par défaut - tout code qu'un développeur met dans ses produits, y compris le code open source, relève de sa propre responsabilité. Nous avons ajouté des identifiants de ce malware à nos produits afin que les utilisateurs utilisant nos solutions puissent déterminer s'ils ont été infectés et supprimer le malware. .
Plus sur Kaspersky.com
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/