LofyLife: Kampagne verteilt verseuchte Open-Source-Code-Pakete

Kaspersky_news

Beitrag teilen

Kaspersky-Experten haben vor zwei Tagen, am 26. Juli, mithilfe des internen automatisierten Systems zur Überwachung von Open-Source-Repositories eine neue schädliche Kampagne namens ‚LofyLife‘ entdeckt. Die öffentliche Sammlung von Open-Source-Code-Paketen wird so kompromittiert.

Die Kampagne nutzt vier schädliche Pakete, die die Malware ‚Volt Stealer‘ und ‚Lofy Stealer‘ im Open-Source-npm-Repository verbreiten. Sie sammeln verschiedene Informationen von ihren Opfern, darunter Discord-Token und Kreditkarteninformationen, und spionieren diese im Laufe der Zeit aus.

Verseuchte Open-Source-Code-Pakete

Das npm-Repository ist eine öffentliche Sammlung von Open-Source-Code-Paketen, die in Front-End-Web-Apps, mobilen Apps, Robotern und Routern weit verbreitet sind und auch unzählige Anforderungen der JavaScript-Community erfüllen. Die Popularität dieses Repositorys macht die LofyLife-Kampagne noch gefährlicher, da sie möglicherweise zahlreiche Nutzer des Repositorys betreffen könnte.

Die identifizierten schädlichen Repositories schienen Pakete zu sein, die für gewöhnliche Aufgaben wie das Formatieren von Überschriften oder bestimmte Spielfunktionen verwendet werden. Sie enthielten jedoch stark verschleierten schädlichen JavaScript- und Python-Code. Dies erschwerte die Analyse beim Hochladen in das Repository. Der schädliche Payload bestand aus der Malware Volt Stealer, die in Python geschrieben wurde, sowie der JavaScript-Malware Lofy Stealer, diezahlreiche Funktionen besitzt.

Gesucht: Discord-Tokens und Kreditkartendaten

Volt Stealer wurde verwendet, um Discord-Tokens und die IP-Adressen der Betroffenen von den infizierten Computern zu stehlen und sie über HTTP hochzuladen. Der Lofy Stealer, eine Neuentwicklung der Angreifer, kann Discord-Client-Dateien infizieren und die Aktionen des Opfers überwachen. Die Malware erkennt, wenn sich ein Nutzer anmeldet, E-Mail- oder Passwortdetails ändert, die Multi-Faktor-Authentifizierung aktiviert oder deaktiviert und neue Zahlungsmethoden hinzufügt, einschließlich vollständiger Kreditkartendaten. Die gesammelten Informationen werden zudem auf den Remote-Endpoint hochgeladen.

Leonid Bezvershenko, Sicherheitsforscher im globalen Forschungs- und Analyseteam (GReAT) von Kaspersky, kommentiert die entdeckte Kampagne wie folgt:

„Entwickler verlassen sich stark auf Open-Source-Code-Repositories – sie nutzen sie, um die Entwicklung von IT-Lösungen schneller und effizienter zu gestalten. Sie tragen insgesamt erheblich zur Entwicklung der IT-Branche bei. Wie die LofyLife-Kampagne zeigt, kann jedoch selbst seriösen Repositories nicht standardmäßig vertraut werden – sämtlicher Code, den ein Entwickler in seine Produkte einfügt, einschließlich Open-Source-Code, liegt in seiner eigenen Verantwortung. Wir haben Kennungen dieser Malware zu unseren Produkten hinzugefügt, damit Anwender, die unsere Lösungen nutzen, feststellen können, ob sie infiziert wurden, und die Malware entfernen können.“ Kaspersky-Produkte erkennen LofyLife-Malware als Trojan.Python.Lofy.a, Trojan.Script.Lofy.gen.

Mehr bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Cybergefahr Raspberry Robin

Ein führender Anbieter einer KI-gestützten, in der Cloud bereitgestellten Cyber-Sicherheitsplattform, warnt vor Raspberry Robin. Die Malware wurde erstmals im Jahr ➡ Weiterlesen

Neue Masche Deep Fake Boss

Anders als bei klassischen Betrugsmaschen wie der E-Mail-gestützten Chef-Masche, greift die Methode  Deep Fake Boss auf hochtechnologische Manipulation zurück, um ➡ Weiterlesen

Einordnung der LockBit-Zerschlagung

Den europäischen und amerikanischern Strafverfolgungsbehörden ist es gelungen, zwei Mitglieder der berüchtigten LockBit-Gruppierung festzunehmen. Dieser wichtige Schlag gegen die Ransomware-Gruppe ➡ Weiterlesen

Die Bumblebee-Malware ist wieder da

Die Bumblebee-Malware wird nach mehrmonatiger Abwesenheit wieder von Cyberkriminellen eingesetzt. IT-Sicherheitsexperten konnten kürzlich eine E-Mail-Kampagne identifizieren, die die Marke des ➡ Weiterlesen

Microsoft Defender lässt sich austricksen

In Microsofts Virenschutzprogramm Defender steckt eine Komponente, die eine Ausführung von Schadcode mithilfe von rundll32.exe erkennen und unterbinden soll. Dieser ➡ Weiterlesen

Ransomware-Attacke auf IT-Dienstleister

Ein in Schweden stationiertes Rechenzentrum des finnischen IT-Dienstleisters Tietoevry wurde kürzlich mit Ransomware angegriffen. Zahlreiche Unternehmen, Behörden und Hochschulen sind ➡ Weiterlesen

Bedrohungspotenzial durch staatliche Akteure

Das Ausmaß der aktuellen Bedrohungslage veranschaulicht ein Cyberangriff, der sich vor kurzem in der Ukraine ereignet hat. Laut dem staatlichen ➡ Weiterlesen

Kritische Schwachstellen bei Fortinet

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer Sicherheitslücke in mehreren Versionen des Fortinet-Betriebssystems FortiOS, das etwa ➡ Weiterlesen