Discord kullanıcılarına ödeme kartı bilgilerini çalan kötü amaçlı yazılım bulaştırmak için LofyLife adlı devam eden kötü amaçlı bir kampanyada birden fazla npm paketi kullanılıyor.
Kaspersky güvenlik araştırmacıları Igor Kuznetsov ve Leonid Bezvershenko’ya göre, bu saldırılarda kullanılan kötü amaçlı yazılım, açık kaynaklı ve Python tabanlı Volt Stealer belirteç kaydedicisinin bir çeşididir.
Araştırmacılar, “26 Temmuz’da, açık kaynak depolarını izlemek için dahili otomatik sistemi kullanarak, Düğüm Paket Yöneticisi (npm) deposunda dört şüpheli paket belirledik” dedi.
“Bütün bu paketler, son derece karmaşık, kötü niyetli Python ve JavaScript kodu içeriyordu. Bu kötü niyetli kampanyaya ‘LofyLife’ adını verdik.”
Kötü amaçlı yazılım, yüklendikten sonra otomatik olarak dağıtılır. küçük-sm, pern-geçerli, cankurtaranveya proc başlığı kötü niyetli npm modülleri.
Kurulduktan sonra, kurbanların IP adresleri de dahil olmak üzere Discord belirteçlerini ve sistem bilgilerini toplar.
Discord kullanıcılarını verilerini çalmak için izler
Discord girişleri, kimlik bilgilerini değiştirme girişimleri, çok faktörlü kimlik doğrulama (MFA) geçişleri veya Discord hesaplarını çalmak ve ödeme bilgilerini tamamlamak için yeni ödeme yöntemlerinin eklenmesi gibi kurbanların eylemlerini izleyerek çalışır.
Bu veriler toplandıktan sonra, adresleri kötü amaçlı yazılım içinde sabit kodlanmış Replit tarafından barındırılan birkaç örnekten birine yüklenir (ör. life.polarlabs.repl[.]co, sock.polarlabs.repl[.]ne, idk.polarlabs.repl[.]ortak).
Kaspersky, bu bilgi hırsızını zorlayan tüm yeni kötü amaçlı paketlerin algılanıp kaldırıldığından emin olmak için npm depolarındaki güncellemeleri hala izlediklerini ekledi.
Bu, kötü niyetli npm paketleri arasında yinelenen bir temadır ve son yıllarda bilgi hırsızlarıyla Discord kullanıcılarını hedeflemek için özel olarak tasarlanmış, görünüşte sonsuz bir kötü amaçlı yazılım akışından yalnızca biridir.
Örneğin, 2019’da, Windows Discord istemcisini arka kapı olarak değiştirmek ve bilgi çalan bir truva atı dağıtmak için Spidey Bot adlı kötü amaçlı yazılım kullanıldı.
Kötü amaçlı npm ve PyPI kitaplıkları da Discord kullanıcılarını hedeflemek, kullanıcı belirteçlerini ve tarayıcı bilgilerini çalmak ve kendisine Monster Ransomware adını veren MBRLocker veri silme kötü amaçlı yazılımını yüklemek için kullanıldı.