26 日前の XNUMX 月 XNUMX 日、Kaspersky の研究者は、オープン ソース リポジトリを監視する内部の自動システムを使用して、「LofyLife」と呼ばれる新しい悪意のあるキャンペーンを発見しました。 したがって、オープン ソース コード パッケージのパブリック コレクションは危険にさらされます。
このキャンペーンは、オープンソースの npm リポジトリで「Volt Stealer」および「Lofy Stealer」マルウェアを増殖させる XNUMX つの悪意のあるパッケージを使用します。 彼らは、Discord トークンやクレジット カード情報など、被害者からさまざまな情報を収集し、時間をかけてスパイします。
感染したオープン ソース コード パッケージ
npm リポジトリは、フロントエンド Web アプリ、モバイル アプリ、ロボット、およびルーターで広く使用されているオープンソース コード パッケージのパブリック コレクションであり、JavaScript コミュニティからの無数のニーズも満たします。 このリポジトリの人気は、リポジトリの多数のユーザーに影響を与える可能性があるため、LofyLife キャンペーンをさらに危険なものにしています。
特定された悪意のあるリポジトリは、見出しの書式設定や特定のゲーム機能などの一般的なタスクに使用されるパッケージのようです。 ただし、それらには、高度に難読化された悪意のある JavaScript および Python コードが含まれていました。 これにより、リポジトリにアップロードする際の分析が困難になりました。 悪意のあるペイロードは、Python で記述された Volt Stealer マルウェアと、多くの機能を持つ Lofy Stealer JavaScript マルウェアで構成されていました。
募集: Discord トークンとクレジット カードの詳細
Volt Stealer は、感染したコンピューターから Discord トークンと被害者の IP アドレスを盗み、HTTP 経由でアップロードするために使用されました。 攻撃者による新たな開発である Lofy スティーラーは、Discord クライアント ファイルに感染し、被害者の行動を監視できます。 このマルウェアは、ユーザーのログイン、電子メールまたはパスワードの詳細の変更、多要素認証の有効化または無効化、クレジット カードの完全な詳細を含む新しい支払い方法の追加を検出します。 収集された情報は、リモート エンドポイントにもアップロードされます。
Kaspersky のグローバル調査分析チーム (GReAT) のセキュリティ研究者である Leonid Bezvershenko は、検出されたキャンペーンについて次のようにコメントしています。
「開発者はオープン ソース コード リポジトリに大きく依存しており、IT ソリューションの開発をより迅速かつ効率的にするために使用しています。 全体として、彼らは IT 業界の発展に大きく貢献しています。 ただし、LofyLife キャンペーンが示すように、評判の良いリポジトリでさえ、デフォルトでは信頼できません。開発者が製品に入れるコード (オープンソース コードを含む) は、開発者自身の責任です。 カスペルスキー製品は、LofyLife マルウェアを Trojan.Python.Lofy.a、Trojan.Script.Lofy.gen として検出します。 .
詳細は Kaspersky.com をご覧ください
カスペルスキーについて Kaspersky は、1997 年に設立された国際的なサイバーセキュリティ企業です。 Kaspersky の脅威インテリジェンスとセキュリティに関する深い専門知識は、革新的なセキュリティ ソリューションとサービスの基盤として機能し、世界中の企業、重要なインフラストラクチャ、政府、および消費者を保護します。 同社の包括的なセキュリティ ポートフォリオには、最先端のエンドポイント プロテクションと、複雑で進化するサイバー脅威から防御するためのさまざまな専門的なセキュリティ ソリューションとサービスが含まれています。 400 億を超えるユーザーと 250.000 の法人顧客がカスペルスキーのテクノロジーによって保護されています。 カスペルスキーの詳細については、www.kaspersky.com/ をご覧ください。