Lofy Stealer

یک کمپین تهدیدآمیز که داده‌های Discord و نشانه‌های قربانیان آن را هدف قرار می‌دهد توسط محققان امنیت سایبری کشف شده است. اطلاعات مربوط به عملیات و تهدیدات بدافزار مورد استفاده مهاجمان در گزارشی توسط کارشناسان بدافزار منتشر شد. بر اساس یافته‌های آنها، عوامل تهدید از بسته‌های npm (مدیریت بسته گره) مسلح شده برای ارائه دو بدافزار مختلف استفاده می‌کنند - یک کد Python مبهم که متعلق به تهدیدی به نام Volt Stealer و یک بدافزار جاوا اسکریپت با نام Lofy Stealer است. کمپین حمله به طور کلی تحت عنوان LofyLife ردیابی می شود.

چهار ماژول npm خراب منتشر شده توسط هکرها "small-sm"، "pern-valids"، "lifeculer" یا "proc-title" نام‌گذاری شده‌اند. پس از اجرا، آنها بدافزار مرتبط را روی سیستم قربانی می‌ریزند. Lofy Stealer به طور خاص برای آلوده کردن فایل های مشتری Discord کاربر هدف طراحی شده است. انجام این کار به مهاجمان اجازه می دهد تا بر فعالیت های قربانی نظارت کنند. به عبارت دقیق‌تر، Lofy Stealer می‌تواند تشخیص دهد که کاربر چه زمانی به Discord وارد می‌شود، آیا تغییری در ایمیل یا رمز عبور مربوط به حساب ایجاد می‌کند، و اینکه آیا MFA (تأیید هویت چند عاملی) فعال یا غیرفعال است. مهمتر از آن، Lofy Stealer می تواند تشخیص دهد که کاربران یک روش پرداخت جدید را اضافه می کنند و تمام جزئیات پرداخت وارد شده را جمع آوری می کند.

سپس تمام داده های جمع آوری شده به سرورهای میزبانی Replit تحت کنترل عامل تهدید منتقل می شود. این آدرس‌های سرویس‌های موجود به صورت سخت در تهدیدات بدافزار کدگذاری شده‌اند. محققان Infosec هشدار می دهند که بسته های مخرب جدید npm ممکن است توسط مجرمان سایبری مسئول عملیات LofyLife منتشر شود.