Chiến dịch LofyLife gần đây đánh cắp mã thông báo và lây nhiễm vào tệp khách hàng để theo dõi các hành động khác nhau của người dùng, chẳng hạn như đăng nhập, thay đổi mật khẩu và phương thức thanh toán.
Các tác nhân đe dọa một lần nữa đang sử dụng kho lưu trữ trình quản lý gói nút (npm) để ẩn phần mềm độc hại có thể ăn cắp Discord Các nhà nghiên cứu đã tìm thấy mã thông báo để theo dõi các phiên của người dùng và đánh cắp dữ liệu trên nền tảng trò chuyện và cộng tác phổ biến.
Một chiến dịch được các nhà nghiên cứu của Kaspersky phát hiện trong tuần này đang che giấu một trình ghi mã thông báo mã nguồn mở cùng với một phần mềm độc hại JavaScript mới trong các gói npm. Chiến dịch có tên LofyLife nhằm mục đích đánh cắp mã thông báo Discord cũng như địa chỉ IP của nạn nhân từ các máy bị nhiễm bệnh, họ cho biết trong một bài đăng blog trên Danh sách Bảo mật được công bố vào thứ Năm.
Các nhà nghiên cứu đã theo dõi các kho lưu trữ mã nguồn mở vào thứ Ba khi họ nhận thấy hoạt động đáng ngờ dưới dạng bốn gói chứa “mã Python và JavaScript độc hại bị xáo trộn cao” trong kho lưu trữ npm, họ viết trong bài đăng.
Các nhà nghiên cứu cho biết, mã Python hóa ra là một phiên bản sửa đổi của trình ghi mã thông báo mã nguồn mở Volt Stealer, trong khi phần mềm độc hại JavaScript mới có tên “LofyStealer” – được tạo ra để lây nhiễm các tệp khách hàng Discord để các tác nhân đe dọa có thể theo dõi hành động của nạn nhân, các nhà nghiên cứu cho biết.
Các nhà nghiên cứu Igor Kuznetsov và Leonid Bezvershenko viết: “Nó phát hiện khi người dùng đăng nhập, thay đổi email hoặc mật khẩu, bật / tắt xác thực đa yếu tố (MFA) và thêm các phương thức thanh toán mới, bao gồm chi tiết thẻ ngân hàng đầy đủ. “Thông tin đã thu thập cũng được tải lên điểm cuối từ xa có địa chỉ được mã hóa cứng.”
Npm là mối đe dọa của chuỗi cung ứng
Kho lưu trữ npm là một ngôi nhà mã nguồn mở cho các nhà phát triển JavaScript để chia sẻ và sử dụng lại các khối mã mà sau đó có thể được sử dụng lại để xây dựng các ứng dụng web khác nhau. Kho lưu trữ đặt ra một chuỗi cung ứng quan trọng cho rằng nếu nó bị hỏng, mã độc hại sau đó sẽ được lan truyền trong bất kỳ ứng dụng nào bằng cách sử dụng nó và do đó có thể được sử dụng để tấn công vô số người dùng của ứng dụng đó.
Thật vậy, tấn công các kho lưu trữ mã nguồn mở có thể là một cách lén lút bất thường để các tác nhân đe dọa nhắm mục tiêu điểm số của các ứng dụng và người dùng ngay lập tức. Điều này đã được làm rõ ràng rất nhiều với Gỡ lỗi Log4Shell, khi nào một lỗ hổng zero-day trong thư viện ghi nhật ký Java phổ biến Apache Log4j được sử dụng bởi vô số ứng dụng web bị đe dọa phá vỡ internet.
“Nhiều người cho rằng phần mềm do nhà cung cấp tạo ra hoàn toàn do nhà cung cấp đó tạo ra, nhưng trên thực tế, có thể có hàng trăm thư viện của bên thứ ba tạo nên ngay cả phần mềm đơn giản nhất,” Tim Mackey, chiến lược gia bảo mật chính tại Trung tâm nghiên cứu an ninh mạng Synopsys, trong một email tới Threatpost.
Bề mặt tấn công rộng rãi này đã không bị các tác nhân đe dọa chú ý, những kẻ ngày càng nhắm mục tiêu vào các kho mã nguồn mở để che giấu phần mềm độc hại có thể ẩn nấp mà không bị nghi ngờ trên nhiều nền tảng.
Casey Bisson, người đứng đầu bộ phận hỗ trợ nhà phát triển và sản phẩm tại công ty bảo mật mã BluBracket, đã viết trong một email tới Threatpost.
Sự bất hòa trong Crosshairs
Npm đã trở thành mục tiêu đặc biệt hấp dẫn đối với các tác nhân đe dọa vì nó không chỉ có hàng chục triệu người dùng, mà các gói được lưu trữ bởi kho lưu trữ cũng đã được tải xuống hàng tỷ lần, ông nói.
“Nó được sử dụng bởi cả các nhà phát triển Node.js có kinh nghiệm và những người sử dụng nó một cách tình cờ như một phần của các hoạt động khác,” Bisson nhận xét. “Các mô-đun Npm được sử dụng cả trong các ứng dụng sản xuất Node.js và trong công cụ dành cho nhà phát triển cho các ứng dụng không sử dụng Node. Việc sử dụng phổ biến giữa các nhà phát triển khiến nó trở thành một mục tiêu lớn. ”
Thật vậy, LofyLife không phải là lần đầu tiên những kẻ đe dọa sử dụng npm để nhắm mục tiêu người dùng Discord. Vào tháng XNUMX, các nhà nghiên cứu tại JFrog đã xác định một bộ gồm 17 gói npm độc hại với các trọng tải và chiến thuật khác nhau nhắm mục tiêu nền tảng cuộc họp ảo, được 350 triệu người dùng sử dụng và cho phép giao tiếp thông qua cuộc gọi thoại, cuộc gọi video, nhắn tin văn bản và tệp.
Trước đó vào tháng 2021 năm XNUMX, khác các nhà nghiên cứu đã phát hiện ra ba gói npm độc hại từ các tác nhân đe dọa đằng sau phần mềm độc hại CursedGrabber nhằm đánh cắp mã thông báo Discord và dữ liệu khác từ người dùng của nền tảng.
Kaspersky, trong số các công ty bảo mật khác, liên tục theo dõi các bản cập nhật cho kho npm để đảm bảo rằng tất cả các gói mã độc mới đều được phát hiện và loại bỏ, các nhà nghiên cứu cho biết.
