Il 26 luglio, utilizzando il sistema automatico interno per il monitoraggio dei repository open-source, i ricercatori Kaspersky hanno identificato una campagna malevola denominata LofyLife. La campagna utilizzava 4 pacchetti malevoli che diffondevano i malware Volt Stealer e Lofy Stealer nel repository open-source npm per raccogliere varie informazioni dalle vittime, tra cui token Discord e informazioni sulle carte di credito, allo scopo di spiarle per un dato periodo di tempo.
Il repository npm è una raccolta pubblica di pacchetti di codice open-source ampiamente utilizzati nelle applicazioni web front-end, nelle applicazioni mobile, nei robot e nei router, oltre che per soddisfare innumerevoli esigenze della community JavaScript. La sua popolarità rende la campagna di LofyLife ancora più pericolosa, in quanto avrebbe potuto colpire numerosi utenti del repository.
I repository dannosi identificati davano l’impressione di essere pacchetti utilizzati per attività ordinarie, come la formattazione dei titoli o alcune funzioni di gioco, ma contenevano codici JavaScript e Python dannosi efficacemente nascosti. Questo li ha resi più difficili da analizzare quando sono stati caricati sul repository. Il payload dannoso consisteva in un malware scritto in Python, denominato Volt Stealer, e in un malware JavaScript, denominato Lofy Stealer, che possiede numerose funzionalità.
Volt Stealer è stato utilizzato per rubare i token Discord dalle macchine infette insieme all’indirizzo IP dell’utente preso di mira e caricarli via HTTP. Lofy Stealer, un nuovo sviluppo degli attaccanti, è in grado di infettare i file del client Discord e di monitorare le azioni della vittima, rilevando quando un utente effettua l’accesso, modifica i dettagli dell’e-mail o della password, attiva o disattiva l’autenticazione a più fattori e aggiunge nuovi metodi di pagamento, compresi i dati completi della carta di credito. Le informazioni raccolte vengono anche caricate sull’endpoint remoto.
“Gli sviluppatori fanno molto affidamento sui repository di codice open-source: li utilizzano per rendere più rapido ed efficiente lo sviluppo di soluzioni informatiche e contribuiscono in modo significativo allo sviluppo dell’industria informatica nel suo complesso. Come dimostra la campagna LofyLife, tuttavia, anche i repository affidabili non possono essere considerati sicuri di default: tutto il codice, compreso quello open-source, che lo sviluppatore inserisce nei suoi prodotti diventa una sua responsabilità. Abbiamo aggiunto il rilevamento di questo malware ai nostri prodotti, in modo che gli utenti che utilizzano le nostre soluzioni siano in grado di identificare se sono stati infettati e di rimuovere il malware”, ha commentato Leonid Bezvershenko, security researcher del Global Research and Analysis Team di Kaspersky.
I prodotti Kaspersky rilevano il malware LofyLife come Trojan.Python.Lofy.a, Trojan.Script.Lofy.gen.
È possibile avere maggiori dettagli sulla campagna leggendo l’articolo su Securelist.
Informazioni su Kaspersky
Kaspersky è un’azienda di sicurezza informatica e digital privacy che opera a livello globale fondata nel 1997. La profonda competenza di Kaspersky in materia di threat intelligence e sicurezza si trasforma costantemente in soluzioni e servizi innovativi per proteggere le aziende, le infrastrutture critiche, i governi e gli utenti di tutto il mondo. L’ampio portfolio di soluzioni di sicurezza dell’azienda include la protezione degli Endpoint leader di settore e una serie di soluzioni e servizi specializzati per combattere le minacce digitali sofisticate e in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky e aiutiamo 240.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: https://www.kaspersky.it/
