Folosind un sistem intern automatizat pentru monitorizarea depozitelor open-source, cercetătorii Kaspersky au identificat o campanie rău intenționată, pe care au denumit-o ”LofyLife”.
Campania a folosit patru pachete rău intenționate, care răspândesc malware Volt Stealer și Lofy Stealer în depozitul npm, pentru a aduna diverse informații de la victime, inclusiv token-uri Discord și informații despre cardul de credit, și pentru a le spiona ulterior.
Pachetele rău intenționate identificate păreau inițial a fi folosite pentru sarcini obișnuite, cum ar fi formatarea titlurilor sau anumite funcții ale jocurilor.
De fapt, aceste pachete conțineau coduri JavaScript și Python rău intenționate. Acest lucru le-a făcut mai greu de analizat atunci când sunt încărcate în depozit.
Volt Stealer a fost folosit pentru a fura token-uri Discord de la echipamentele infectate, împreună cu adresa IP a victimei, și pentru a le încărca prin HTTP.
Lofy Stealer, o nouă creație a atacatorilor, este capabil să infecteze fișierele clientului Discord și să monitorizeze acțiunile victimei - detectând când un utilizator se conectează, schimbă detaliile legate de e-mail sau parolă, activează sau dezactivează autentificarea prin mai mulți factori și adaugă noi metode de plată, inclusiv detaliile complete ale cardului de credit. Informațiile colectate sunt, de asemenea, încărcate la nivelul endpoint, la distanță.