Los ciberdelincuentes han encontrado una nueva forma de robar su cuenta de Discord utilizando el repositorio de código abierto npm junto con un par de malware (se abre en una pestaña nueva) variantes.
Según lo informado por Kaspersky, que detectó por primera vez la campaña que denominó LofyLife, los delincuentes crearon cuatro paquetes maliciosos que propagan dos variantes de malware diferentes: Volt Stealer y Lofy Stealer.
Estos paquetes se han distribuido a través del repositorio, donde varios desarrolladores los están adoptando. Una vez integrado, el malware buscará recopilar información diferente de las víctimas, incluidos tokens de Discord, información de tarjetas de crédito y otros tipos de datos confidenciales y potencialmente identificables.
Seguimiento de cambios de contraseña
Kaspersky dice que los paquetes maliciosos están diseñados para tareas básicas, como formatear titulares o algunas funciones de juegos. Sin embargo, al profundizar en la superficie, los investigadores descubrieron código JavaScript y Python malicioso ofuscado. VoltStealer fue escrito en Python y Lofy Stealer en JavaScript.
VoltStealer es el que roba tokens de Discord de puntos finales comprometidos. Además de eso, también toma las direcciones IP de las víctimas y las carga a través de HTTP.
Lofy Stealer, por otro lado, tiene la capacidad de infectar archivos de clientes de Discord y monitorear las acciones de las víctimas. Puede rastrear cuándo el usuario inicia sesión, cambia sus detalles de inicio de sesión (tanto el correo electrónico como la contraseña) (se abre en una pestaña nueva)), cuando cambian o deshabilitan la autenticación multifactor (se abre en una pestaña nueva), o agregue un nuevo método de pago, incluidos los detalles de la tarjeta de crédito. Luego, todos estos datos se cargan en un servidor remoto.
A los actores de amenazas les encanta atacar a Discord, ya que es la plataforma de comunicaciones de referencia para desarrolladores, jugadores y aficionados a blockchain y NFT. Como tal, está lleno de oportunidades de fraude potencialmente lucrativas.
El repositorio npm, por otro lado, es una biblioteca pública de código fuente abierto, utilizada por muchos desarrolladores que crean aplicaciones web front-end, aplicaciones móviles, bots o enrutadores. La comunidad de JavaScript aparentemente depende en gran medida de npm, lo que hace que LofyLife sea mucho más peligroso.