Monitorando i repository open-source, Kaspersky ha individuato la nuova campagna malevola LofyLife che raccoglie informazioni su token Discord e carte di credito. Utilizzando 4 pacchetti malevoli che diffondevano i malware Volt Stealer e Lofy Stealer nel repository open-source npm la campagna raccoglieva informazioni sulle vittime allo scopo di spiarle.
La pericolosità di LofyLife
Il repository npm è una raccolta pubblica di pacchetti di codice open-source utilizzati nelle app web front-end, nelle app mobile, nei robot e nei router. Inoltre soddisfa innumerevoli esigenze della community JavaScript. La sua popolarità rende LofyLife ancora più pericolosa, in quanto avrebbe potuto colpire numerosi utenti del repository.
Come agisce la campagna malevola LofyLife
I repository dannosi identificati davano l’impressione di essere pacchetti utilizzati per attività ordinarie, come la formattazione dei titoli o alcune funzioni di gioco. In realtà contenevano codici JavaScript e Python dannosi efficacemente nascosti. Questo li ha resi più difficili da analizzare quando sono stati caricati sul repository. Il payload dannoso consisteva in un malware scritto in Python, denominato Volt Stealer.
Le funzionalità
Oltre che in un malware JavaScript, denominato Lofy Stealer, che possiede numerose funzionalità. Il primo è stato utilizzato per rubare i token Discord dalle macchine infette insieme all’indirizzo IP dell’utente preso di mira e caricarli via HTTP. Lofy Stealer invece può infettare i file del client Discord e di monitorare le azioni della vittima. Le informazioni raccolte vengono anche caricate sull’endpoint remoto.
Kaspersky – Nuova campagna malevola LofyLife
Leonid Bezvershenko, Security rRsearcher del Global Research and Analysis Team Kaspersky Gli sviluppatori fanno molto affidamento sui repository di codice open-source. Li utilizzano per rendere più rapido ed efficiente lo sviluppo di soluzioni informatiche e contribuiscono in modo significativo allo sviluppo dell’industria informatica nel suo complesso.
Come dimostra la campagna LofyLife, tuttavia, anche i repository affidabili non possono essere considerati sicuri di default. Tutto il codice, compreso quello open-source, che lo sviluppatore inserisce nei suoi prodotti diventa una sua responsabilità. Abbiamo aggiunto il rilevamento di questo malware ai nostri prodotti, in modo che gli utenti che utilizzano le nostre soluzioni siano in grado di identificare se sono stati infettatie di rimuovere il malware.
