Lofy Stealer
یک کمپین تهدیدآمیز که دادههای Discord و نشانههای قربانیان آن را هدف قرار میدهد توسط محققان امنیت سایبری کشف شده است. اطلاعات مربوط به عملیات و تهدیدات بدافزار مورد استفاده مهاجمان در گزارشی توسط کارشناسان بدافزار منتشر شد. بر اساس یافتههای آنها، عوامل تهدید از بستههای npm (مدیریت بسته گره) مسلح شده برای ارائه دو بدافزار مختلف استفاده میکنند - یک کد Python مبهم که متعلق به تهدیدی به نام Volt Stealer و یک بدافزار جاوا اسکریپت با نام Lofy Stealer است. کمپین حمله به طور کلی تحت عنوان LofyLife ردیابی می شود.
چهار ماژول npm خراب منتشر شده توسط هکرها "small-sm"، "pern-valids"، "lifeculer" یا "proc-title" نامگذاری شدهاند. پس از اجرا، آنها بدافزار مرتبط را روی سیستم قربانی میریزند. Lofy Stealer به طور خاص برای آلوده کردن فایل های مشتری Discord کاربر هدف طراحی شده است. انجام این کار به مهاجمان اجازه می دهد تا بر فعالیت های قربانی نظارت کنند. به عبارت دقیقتر، Lofy Stealer میتواند تشخیص دهد که کاربر چه زمانی به Discord وارد میشود، آیا تغییری در ایمیل یا رمز عبور مربوط به حساب ایجاد میکند، و اینکه آیا MFA (تأیید هویت چند عاملی) فعال یا غیرفعال است. مهمتر از آن، Lofy Stealer می تواند تشخیص دهد که کاربران یک روش پرداخت جدید را اضافه می کنند و تمام جزئیات پرداخت وارد شده را جمع آوری می کند.
سپس تمام داده های جمع آوری شده به سرورهای میزبانی Replit تحت کنترل عامل تهدید منتقل می شود. این آدرسهای سرویسهای موجود به صورت سخت در تهدیدات بدافزار کدگذاری شدهاند. محققان Infosec هشدار می دهند که بسته های مخرب جدید npm ممکن است توسط مجرمان سایبری مسئول عملیات LofyLife منتشر شود.