Security Week 2232: вредоносные npm-пакеты

В свежем исследовании экспертов «Лаборатории Касперского» проанализирована вредоносная кампания LofyLife. В конце июля в репозитории Node Package Manager обнаружили четыре вредоносных пакета. Помимо легитимной функциональности (обработка текстовых данных и подобное), они содержат обфусцированный вредоносный код, предназначенный для кражи токенов доступа к чат-сервису Discord и платежной информации.



Вредоносный код на языке Python представляет собой слегка измененную версию троянской программы Volt Stealer, код которой доступен всем желающим. Токены доступа к Discord отправляются с компьютера жертвы атакующему по протоколу HTTP. Помимо этого, в зараженных пакетах есть отдельный зловред на JavaScript, который исследователи назвали Lofy Stealer. Он также направлен на кражу данных из чат-сервиса, но работает немного сложнее — заражает файлы самого клиента Discord, чтобы затем отслеживать вход пользователя в систему, смену e-mail, включение многофакторной авторизации. Если ввести в Discord данные кредитной карты для оплаты, Lofy Stealer может перехватить и их.
Читать дальше →

Источник: Хабрахабр