多个 npm 包被用于正在进行的恶意活动中,用窃取他们支付卡信息的恶意软件感染 Discord 用户。

根据卡巴斯基安全研究人员 Igor Kuznetsov 和 Leonid Bezvershenko 的说法,这些攻击中使用的恶意软件是开源和基于 Python 的 Volt Stealer 令牌记录器和 JavaScript 恶意软件 Lofy Stealer 的变体。

“7 月 26 日,我们使用内部自动化系统监控开源存储库,在 Node Package Manager (npm) 存储库中发现了四个可疑包,”研究人员说。

discord-header-l.webp

“所有这些包都包含高度混淆的恶意 Python 和 JavaScript 代码。我们将这个恶意活动称为‘LofyLife’。”

安装small-sm、pern-valids、lifeculer或proc-title恶意 npm 模块后,恶意软件会自动部署。

安装后,Volt Stealer 变体会收集 Discord 令牌和系统信息,包括受害者的 IP 地址。

Lofy Stealer 监控受害者的行为,例如 Discord 登录、尝试更改凭据、多因素身份验证 (MFA) 切换或添加新的支付方式来窃取 Discord 帐户和支付信息。

被盗数据上传到攻击者控制的服务器

收集后,这些数据会上传到几个 Replit 托管的实例之一,这些实例的地址在恶意软件中被硬编码(例如 life.polarlabs.repl[.]co、sock.polarlabs.repl[.]co、idk.polarlabs .repl[.]co)。

卡巴斯基补充说,他们仍在监控 npm 存储库的更新,以确保检测并删除所有推送这些恶意软件的新恶意程序包。

这是 恶意 npm 软件包中反复出现的主题 ,它只是近年来专门针对 Discord 用户而设计的具有信息窃取者的看似无穷无尽的恶意软件之一。

例如,在 2019 年, 被称为 Spidey Bot 的恶意软件 被用来修改 Windows Discord 客户端以对其进行后门并部署信息窃取木马。

恶意 npm 和 PyPI 库也被用于攻击 Discord 用户,窃取他们的 用户令牌 和 浏览器信息,并安装 MBRLocker 数据擦除恶意软件 ,自称 Monster Ransomware。

Tags: none

我有个想法