Два дні тому, 26 липня, дослідники Касперського виявили нову шкідливу кампанію під назвою LofyLife за допомогою внутрішньої автоматизованої системи моніторингу сховищ з відкритим кодом. Таким чином публічна колекція пакетів з відкритим кодом скомпрометована.
У кампанії використовуються чотири шкідливі пакети, які розповсюджують зловмисне програмне забезпечення «Volt Stealer» і «Lofy Stealer» у відкритому сховищі npm. Вони збирають різноманітну інформацію від своїх жертв, зокрема токени Discord та дані кредитних карток, і з часом шпигують за ними.
Інфіковані пакети з відкритим кодом
Репозиторій npm — це загальнодоступна колекція пакетів коду з відкритим кодом, які широко використовуються у зовнішніх веб-додатках, мобільних додатках, роботах і маршрутизаторах, а також задовольняють численні потреби спільноти JavaScript. Популярність цього сховища робить кампанію LofyLife ще більш небезпечною, оскільки вона потенційно може вплинути на багатьох користувачів сховища.
Виявлені сховища зловмисників виявилися пакетами, які використовуються для типових завдань, таких як форматування заголовків або певних функцій гри. Однак вони містили сильно заплутаний шкідливий код JavaScript і Python. Це ускладнювало аналіз під час завантаження в репозиторій. Шкідливе навантаження складалося зі шкідливого програмного забезпечення Volt Stealer, написаного на Python, і шкідливого програмного забезпечення Lofy Stealer JavaScript, яке має багато функцій.
Потрібні: жетони Discord і дані кредитної картки
Volt Stealer використовувався для викрадення токенів Discord і IP-адрес жертв із заражених комп’ютерів і завантаження їх через HTTP. Нова розробка зловмисників, Lofy Stealer може заражати клієнтські файли Discord і стежити за діями жертви. Зловмисне програмне забезпечення виявляє, коли користувач входить в систему, змінює дані електронної пошти або пароля, включає або вимикає багатофакторну автентифікацію та додає нові способи оплати, включаючи повні дані кредитної картки. Зібрана інформація також завантажується на віддалену кінцеву точку.
Леонід Безвершенко, дослідник безпеки глобальної дослідницько-аналітичної групи Kaspersky (GReAT), коментує виявлену кампанію так:
«Розробники значною мірою покладаються на сховища коду з відкритим кодом — вони використовують їх, щоб зробити розробку ІТ-рішень швидшою та ефективнішою. Загалом вони роблять вагомий внесок у розвиток ІТ-індустрії. Однак, як показує кампанія LofyLife, навіть авторитетним сховищам не можна довіряти за замовчуванням – будь-який код, який розміщує у своїх продуктах, включно з відкритим вихідним кодом, є його власною відповідальністю. Ми додали ідентифікатори цього зловмисного програмного забезпечення до наших продуктів, щоб користувачі, які використовують наші рішення, могли визначити, чи були вони інфіковані, і видалити зловмисне програмне забезпечення». .
Більше на Kaspersky.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/