İki gün önce, 26 Temmuz'da Kaspersky araştırmacıları, açık kaynak depolarını izleyen dahili otomatikleştirilmiş sistemi kullanan 'LofyLife' adlı yeni bir kötü amaçlı kampanya keşfetti. Açık kaynak kodu paketlerinin halka açık koleksiyonu böylece tehlikeye atılır.
Kampanya, açık kaynaklı npm deposunda 'Volt Stealer' ve 'Lofy Stealer' kötü amaçlı yazılımlarını çoğaltan dört kötü amaçlı paket kullanıyor. Discord jetonları ve kredi kartı bilgileri dahil olmak üzere kurbanlarından çeşitli bilgiler toplarlar ve zaman içinde onları gözetlerler.
Virüslü açık kaynak kodu paketleri
npm deposu, ön uç web uygulamalarında, mobil uygulamalarda, robotlarda ve yönlendiricilerde yaygın olarak kullanılan ve ayrıca JavaScript topluluğunun sayısız ihtiyacını karşılayan, açık kaynak kod paketlerinin halka açık bir koleksiyonudur. Bu havuzun popülaritesi, havuzun çok sayıda kullanıcısını potansiyel olarak etkileyebileceği için LofyLife kampanyasını daha da tehlikeli hale getiriyor.
Tespit edilen kötü amaçlı depoların, başlıkları biçimlendirme veya belirli oyun özellikleri gibi yaygın görevler için kullanılan paketler olduğu ortaya çıktı. Ancak, büyük ölçüde gizlenmiş kötü amaçlı JavaScript ve Python kodu içeriyorlardı. Bu, depoya yüklerken analiz etmeyi zorlaştırdı. Kötü amaçlı yük, Python'da yazılmış Volt Stealer kötü amaçlı yazılımından ve birçok özelliği olan Lofy Stealer JavaScript kötü amaçlı yazılımından oluşuyordu.
Aranıyor: Discord jetonları ve kredi kartı detayları
Volt Stealer, virüslü bilgisayarlardan Discord jetonlarını ve kurbanların IP adreslerini çalmak ve HTTP yoluyla yüklemek için kullanıldı. Saldırganların yeni bir geliştirmesi olan Lofy hırsızı, Discord istemci dosyalarına bulaşabilir ve kurbanın eylemlerini izleyebilir. Kötü amaçlı yazılım, bir kullanıcının ne zaman oturum açtığını algılar, e-posta veya parola ayrıntılarını değiştirir, çok faktörlü kimlik doğrulamayı etkinleştirir veya devre dışı bırakır ve tam kredi kartı ayrıntıları da dahil olmak üzere yeni ödeme yöntemleri ekler. Toplanan bilgiler ayrıca uzak uç noktaya yüklenir.
Kaspersky'nin küresel araştırma ve analiz ekibinin (GReAT) güvenlik araştırmacısı Leonid Bezvershenko, tespit edilen kampanya hakkında şu yorumu yapıyor:
"Geliştiriciler büyük ölçüde açık kaynak kod havuzlarına güveniyorlar - bunları BT çözümü geliştirmeyi daha hızlı ve daha verimli hale getirmek için kullanıyorlar. Genel olarak, BT endüstrisinin gelişimine önemli bir katkı sağlarlar. Ancak, LofyLife kampanyasının gösterdiği gibi, saygın depolara bile varsayılan olarak güvenilemez - açık kaynak kodu da dahil olmak üzere bir geliştiricinin ürünlerine koyduğu herhangi bir kod kendi sorumluluğundadır. Çözümlerimizi kullanan kullanıcıların virüs bulaşıp bulaşmadığını belirleyebilmesi ve kötü amaçlı yazılımı kaldırabilmesi için ürünlerimize bu kötü amaçlı yazılımın tanımlayıcılarını ekledik." Kaspersky ürünleri, LofyLife kötü amaçlı yazılımını Trojan.Python.Lofy.a, Trojan .Script.Lofy.gen olarak algılar. .
Kaspersky.com'da daha fazlası
Kaspersky Hakkında Kaspersky, 1997 yılında kurulmuş uluslararası bir siber güvenlik şirketidir. Kaspersky'nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumaya yönelik yenilikçi güvenlik çözümlerinin ve hizmetlerinin temelini oluşturur. Şirketin kapsamlı güvenlik portföyü, karmaşık ve gelişen siber tehditlere karşı savunma için lider uç nokta koruması ve bir dizi özel güvenlik çözümü ve hizmeti içerir. 400 milyondan fazla kullanıcı ve 250.000 kurumsal müşteri, Kaspersky teknolojileri tarafından korunmaktadır. www.kaspersky.com/ adresinde Kaspersky hakkında daha fazla bilgi