Nieuwe kwaadaardige campagne jaagt op Discord-tokens en creditcardgegevens via geïnfecteerde open-source npm-pakketten
Op 26 juli hebben onderzoekers van Kaspersky met behulp van het interne geautomatiseerde systeem voor het monitoren van open-source repositories een kwaadaardige campagne met de naam LofyLife geïdentificeerd. De campagne gebruikte 4 kwaadaardige pakketten die Volt Stealer en Lofy Stealer malware verspreidden in de open-source npm repository om verschillende gegevens van slachtoffers te verzamelen, waaronder Discord tokens en creditcardgegevens, en om ze na verloop van tijd te bespioneren.
De npm repository is een openbare verzameling van open-source codepakketten die op grote schaal worden gebruikt in front-end webapps, mobiele apps, robots en routers, en ook om te voorzien in talloze behoeften van de JavaScript-gemeenschap. De populariteit ervan maakt de LofyLife-campagne nog gevaarlijker, aangezien deze mogelijk talloze gebruikers van de repository had kunnen treffen.
De geïdentificeerde kwaadaardige repositories leken pakketten te zijn die werden gebruikt voor gewone taken, zoals het opmaken van koppen of bepaalde spelfuncties, maar ze bevatten sterk versluierde kwaadaardige JavaScript- en Python-code. Hierdoor waren ze moeilijker te analyseren wanneer ze naar de repository werden geüpload. De kwaadaardige payload bestond uit in Python geschreven malware met de naam Volt Stealer en een JavaScript-malware met de naam Lofy Stealer, die over talrijke functies beschikt.
Volt Stealer werd gebruikt om Discord tokens van de geïnfecteerde machines te stelen, samen met het IP-adres van het slachtoffer, en deze te uploaden via HTTP. De Lofy Stealer, een nieuwe ontwikkeling van de aanvallers, kan Discord-clientbestanden infecteren en de acties van het slachtoffer in de gaten houden - detecteren wanneer een gebruiker inlogt, e-mail- of wachtwoordgegevens wijzigt, multifactorauthenticatie in- of uitschakelt en nieuwe betaalmethoden toevoegt, inclusief volledige creditcardgegevens. Verzamelde informatie wordt ook geüpload naar de endpoint op afstand.
"Developers vertrouwen in hoge mate op open-source code repositories - zij gebruiken deze om de ontwikkeling van IT-oplossingen sneller en efficiënter te maken, en dragen in belangrijke mate bij aan de ontwikkeling van de IT-industrie als geheel. Zoals de LofyLife-campagne echter laat zien, kunnen zelfs gerenommeerde repositories niet standaard worden vertrouwd - alle code, inclusief open-source code, die een ontwikkelaar in zijn producten injecteert, wordt zijn eigen verantwoordelijkheid. We hebben detecties van deze malware aan onze producten toegevoegd, zodat gebruikers die onze oplossingen draaien, kunnen vaststellen of ze zijn geïnfecteerd en de malware kunnen verwijderen", aldus Leonid Bezvershenko, security-onderzoeker bij Kaspersky's Global Research and Analysis Team.
Kaspersky-producten detecteren LofyLife-malware als Trojan.Python.Lofy.a, Trojan.Script.Lofy.gen.
Kijk voor meer details over de campagne op Securelist
Nieuwe kwaadaardige campagne jaagt op Discord-tokens en creditcardgegevens via geïnfecteerde open-source npm-pakketten
Kaspersky
Verwant artikel Nieuws
Meer dan 2 op de 5 Nederlandse bedrijfsleiders is er niet zeker van dat ex-werknemers geen toegang hebben tot digitale middelen
Personeelsvermindering kan leiden tot extra cybersecurityrisico’s blijkt uit recent onderzoek van Kaspersky naar het gedrag van mkb’s tijdens crises. Zo is nog geen 3 op de 5 (58%) van de Nederlandse bedrijfsleiders ervan overtuigd dat hun ex-werknemers geen toegang meer hebben tot de bedrijfsgegevens die zijn opgeslagen in de cloud, en zelfs meer dan 1 op 10 (12%) is er niet zeker van of ex-werknemers geen bedrijfsaccounts meer kunnen gebruiken.Lees meer >Digitaal geweld via stalkerware toont weinig tekenen van afname
In 2022 waren bijna 30.000 mobiele gebruikers wereldwijd het doelwit van stalkerware (geheime observatiesoftware die door huiselijk geweldplegers wordt gebruikt om slachtoffers te volgen), volgens het laatste Kaspersky State of Stalkerware-rapport.Lees meer >Aanvallen in de industriële sector nemen toe: een jaaroverzicht van Kaspersky
In 2022 werd meer dan 40 procent van de operationele technologie (OT) computers getroffen door kwaadaardige objecten, zo blijkt uit het ICS threat landscape report van Kaspersky. In de tweede helft van 2022 werd de industriële sector wereldwijd getroffen door de meeste aanvallen (34,3%). Deze periode werd ook gekenmerkt door een toenemend aantal aanvallen die werden uitgevoerd met behulp van kwaadaardige scripts, phishingpagina's (JS en HTML) en denylisted bronnen. Aanvallen op de automotive-industrie en de energiesector lieten een ongekende groei zien en waren goed voor 36,9 procent en 34,5 procent van alle industrieën.Lees meer >