Due giorni fa, il 26 luglio, i ricercatori di Kaspersky hanno scoperto una nuova campagna dannosa chiamata "LofyLife" che utilizzava il sistema automatico interno di monitoraggio dei repository open source. La raccolta pubblica di pacchetti di codice open source è quindi compromessa.
La campagna utilizza quattro pacchetti dannosi che proliferano il malware "Volt Stealer" e "Lofy Stealer" nel repository npm open source. Raccolgono varie informazioni dalle loro vittime, inclusi token Discord e informazioni sulla carta di credito, e le spiano nel tempo.
Pacchetti di codice open source infetti
Il repository npm è una raccolta pubblica di pacchetti di codice open source ampiamente utilizzati nelle app Web front-end, nelle app mobili, nei robot e nei router e soddisfa anche una miriade di esigenze della comunità JavaScript. La popolarità di questo repository rende la campagna LofyLife ancora più pericolosa in quanto potrebbe potenzialmente colpire numerosi utenti del repository.
I repository dannosi identificati sembravano essere pacchetti utilizzati per attività comuni come la formattazione di titoli o determinate funzionalità di gioco. Tuttavia, contenevano codice JavaScript e Python dannoso fortemente offuscato. Ciò ha reso difficile l'analisi durante il caricamento nel repository. Il payload dannoso consisteva nel malware Volt Stealer, scritto in Python, e nel malware JavaScript Lofy Stealer, che ha molte funzionalità.
Ricercato: gettoni Discord e dettagli della carta di credito
Volt Stealer è stato utilizzato per rubare i token Discord e gli indirizzi IP delle vittime dai computer infetti e caricarli tramite HTTP. Un nuovo sviluppo degli aggressori, il ladro Lofy può infettare i file del client Discord e monitorare le azioni della vittima. Il malware rileva quando un utente accede, modifica i dettagli dell'e-mail o della password, abilita o disabilita l'autenticazione a più fattori e aggiunge nuovi metodi di pagamento, inclusi i dettagli completi della carta di credito. Le informazioni raccolte vengono caricate anche sull'endpoint remoto.
Leonid Bezvershenko, ricercatore di sicurezza nel team globale di ricerca e analisi di Kaspersky (GReAT) commenta la campagna rilevata come segue:
“Gli sviluppatori fanno molto affidamento sui repository di codice open source: li usano per rendere lo sviluppo di soluzioni IT più rapido ed efficiente. Nel complesso, danno un contributo significativo allo sviluppo del settore IT. Tuttavia, come mostra la campagna LofyLife, anche i repository affidabili non possono essere considerati affidabili per impostazione predefinita: qualsiasi codice che uno sviluppatore inserisce nei propri prodotti, incluso il codice open source, è sotto la propria responsabilità. Abbiamo aggiunto identificatori di questo malware ai nostri prodotti in modo che gli utenti che utilizzano le nostre soluzioni possano determinare se sono stati infettati e rimuovere il malware." I prodotti Kaspersky rilevano il malware LofyLife come Trojan.Python.Lofy.a, Trojan .Script.Lofy.gen .
Altro su Kaspersky.com
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/