Les cybercriminels ont trouvé un nouveau moyen de voler votre compte Discord en utilisant le référentiel open source npm aux côtés de quelques logiciels malveillants (s’ouvre dans un nouvel onglet) variantes.
Comme l’a rapporté Kaspersky, qui a repéré pour la première fois la campagne qu’il a surnommée LofyLife, les criminels ont créé quatre packages malveillants qui diffusent deux variantes de logiciels malveillants différentes : Volt Stealer et Lofy Stealer.
Ces packages ont été distribués via le référentiel, où ils sont adoptés par divers développeurs. Une fois intégré, le logiciel malveillant cherchera à collecter différentes informations auprès des victimes, notamment des jetons Discord, des informations de carte de crédit et d’autres types de données sensibles et potentiellement identifiables.
Suivi des changements de mot de passe
Kaspersky affirme que les packages malveillants sont conçus pour des tâches de base, telles que le formatage des titres ou certaines fonctions de jeu. Cependant, en creusant plus profondément à partir de la surface, les chercheurs ont découvert du code JavaScript et Python malveillant obscurci. VoltStealer a été écrit en Python et Lofy Stealer en JavaScript.
VoltStealer est celui qui vole les jetons Discord des terminaux compromis. En plus de cela, il récupère également les adresses IP des victimes et les télécharge via HTTP.
Lofy Stealer, d’autre part, a la capacité d’infecter les fichiers des clients Discord et de surveiller les actions des victimes. Il peut suivre le moment où l’utilisateur se connecte, modifie ses informations de connexion (e-mail et mot de passe (s’ouvre dans un nouvel onglet)), lorsqu’ils modifient ou désactivent l’authentification multifacteur (s’ouvre dans un nouvel onglet), ou ajouter un nouveau mode de paiement, y compris les détails de la carte de crédit. Toutes ces données sont ensuite téléchargées sur un serveur distant.
Les acteurs de la menace adorent attaquer Discord, car il s’agit de la plate-forme de communication incontournable pour les développeurs, les joueurs et les aficionados de la blockchain et de la NFT. En tant que tel, il est rempli d’opportunités de fraude potentiellement lucratives.
Le référentiel npm, quant à lui, est une bibliothèque publique de code open source, utilisée par de nombreux développeurs créant des applications Web frontales, des applications mobiles, des bots ou des routeurs. La communauté JavaScript est apparemment fortement dépendante de npm, ce qui rend LofyLife d’autant plus dangereux.