Dois dias atrás, em 26 de julho, os pesquisadores da Kaspersky descobriram uma nova campanha maliciosa chamada 'LofyLife' usando o sistema automatizado interno que monitora repositórios de código aberto. A coleção pública de pacotes de código-fonte aberto é, portanto, comprometida.
A campanha usa quatro pacotes maliciosos que proliferam o malware 'Volt Stealer' e 'Lofy Stealer' no repositório npm de código aberto. Eles coletam várias informações de suas vítimas, incluindo tokens Discord e informações de cartão de crédito, e os espionam ao longo do tempo.
Pacotes de código aberto infectados
O repositório npm é uma coleção pública de pacotes de código-fonte aberto que são amplamente usados em aplicativos front-end da Web, aplicativos móveis, robôs e roteadores e também atendem a inúmeras necessidades da comunidade JavaScript. A popularidade deste repositório torna a campanha LofyLife ainda mais perigosa, pois pode afetar vários usuários do repositório.
Os repositórios maliciosos identificados pareciam ser pacotes usados para tarefas comuns, como formatar manchetes ou certos recursos do jogo. No entanto, eles continham códigos JavaScript e Python altamente ofuscados. Isso dificultou a análise ao fazer o upload para o repositório. A carga maliciosa consistia no malware Volt Stealer, escrito em Python, e no malware Lofy Stealer JavaScript, que possui muitos recursos.
Procura-se: Discord tokens e detalhes do cartão de crédito
Volt Stealer foi usado para roubar tokens Discord e endereços IP das vítimas de computadores infectados e carregá-los via HTTP. Um novo desenvolvimento dos atacantes, o ladrão Lofy pode infectar os arquivos do cliente Discord e monitorar as ações da vítima. O malware detecta quando um usuário faz login, altera detalhes de e-mail ou senha, ativa ou desativa a autenticação multifator e adiciona novos métodos de pagamento, incluindo detalhes completos do cartão de crédito. As informações coletadas também são carregadas no endpoint remoto.
Leonid Bezvershenko, pesquisador de segurança da equipe global de pesquisa e análise da Kaspersky (GReAT) comenta a campanha detectada da seguinte forma:
“Os desenvolvedores dependem fortemente de repositórios de código-fonte aberto - eles os usam para tornar o desenvolvimento de soluções de TI mais rápido e eficiente. No geral, eles fazem uma contribuição significativa para o desenvolvimento da indústria de TI. No entanto, como mostra a campanha LofyLife, mesmo os repositórios respeitáveis não são confiáveis por padrão – qualquer código que um desenvolvedor coloque em seus produtos, incluindo código-fonte aberto, é de sua própria responsabilidade. Adicionamos identificadores desse malware aos nossos produtos para que os usuários que usam nossas soluções possam determinar se foram infectados e remover o malware.” Os produtos da Kaspersky detectam o malware LofyLife como Trojan.Python.Lofy.a, Trojan .Script.Lofy.gen .
Mais em Kaspersky.com
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/