Lofy Stealer

Discord のデータと被害者のトークンを標的とする脅迫的なキャンペーンが、サイバーセキュリティの研究者によって発見されました。攻撃者が使用した操作とマルウェアの脅威に関する情報は、マルウェアの専門家によるレポートで公開されました。彼らの調査結果によると、攻撃者は兵器化された npm (Node Package Manager) パッケージを使用して、2 つの異なるマルウェアを配布しています。Volt Stealer として知られる脅威に属する難読化された Python コードと、Lofy Stealer という名前の JavaScript マルウェアです。全体として、攻撃キャンペーンは LofyLife として追跡されています。

ハッカーによって拡散された 4 つの破損した npm モジュールには、「small-sm」、「pern-valids」、「lifeculer」、または「proc-title」という名前が付けられています。実行後、関連するマルウェアを被害者のシステムに投下します。 Lofy Stealer は、ターゲット ユーザーの Discord クライアント ファイルに感染するように特別に設計されています。そうすることで、攻撃者は被害者の活動を監視できます。より正確には、Lofy Stealer は、ユーザーがいつ Discord にログインしたか、アカウントに関連する電子メールまたはパスワードを変更したかどうか、および MFA (多要素認証) が有効か無効かを検出できます。さらに重要なことに、Lofy Stealer は、ユーザーが新しい支払い方法を追加したことを認識し、入力されたすべての支払いの詳細を収集します。

収集されたすべてのデータは、攻撃者の制御下にあるReplitがホストするサーバーに送信されます。利用可能なサーバーのこれらのアドレスは、マルウェアの脅威にハードコードされています。 Infosec の研究者は、新しい悪意のある npm パッケージが、LofyLife の操作を担当するサイバー犯罪者によってリリースされる可能性があると警告しています。