Lofy Stealer

Une campagne menaçante ciblant les données Discord et les jetons de ses victimes a été découverte par des chercheurs en cybersécurité. Des informations sur l'opération et les menaces de logiciels malveillants utilisées par les attaquants ont été publiées dans un rapport d'experts en logiciels malveillants. Selon leurs conclusions, les acteurs de la menace utilisent des packages npm (Node Package Manager) armés pour fournir deux logiciels malveillants différents - un code Python obscurci qui appartient à une menace connue sous le nom de Volt Stealer et un logiciel malveillant JavaScript nommé Lofy Stealer. La campagne d'attaque dans son ensemble est suivie sous le nom de LofyLife.

Les quatre modules npm corrompus diffusés par les pirates sont nommés "small-sm", "pern-valids", "lifeculer" ou "proc-title". Après avoir été exécutés, ils déposeront le logiciel malveillant associé sur le système de la victime. Le Lofy Stealer est conçu spécifiquement pour infecter les fichiers du client Discord de l'utilisateur ciblé. Cela permet aux attaquants de surveiller les activités de la victime. Pour être plus précis, Lofy Stealer est capable de détecter quand l'utilisateur se connecte à Discord, s'il apporte des modifications à l'e-mail ou au mot de passe lié au compte, et si l'authentification multifacteur (MFA) est activée ou désactivée. Plus important encore, Lofy Stealer peut reconnaître quand les utilisateurs ajoutent un nouveau mode de paiement et collectera toutes les informations de paiement saisies.

Toutes les données récoltées sont ensuite transmises aux serveurs hébergés par Replit sous le contrôle de l'auteur de la menace. Ces adresses des services disponibles sont codées en dur dans les menaces de logiciels malveillants. Les chercheurs d'Infosec avertissent que de nouveaux packages npm malveillants pourraient être publiés par les cybercriminels responsables de l'opération LofyLife.