News
Une nouvelle campagne malveillante vise les informations bancaires et les tokens Discord via des paquets npm open-source infectés
juillet 2022 par Kaspersky
Le 26 juillet, en utilisant le système interne automatisé de surveillance des référentiels open-source, les experts de Kaspersky ont identifié une campagne malveillante baptisée LofyLife. L’opération a utilisé quatre packages malveillants pour diffuser les malwares Volt Stealer et Lofy Stealer dans le dépôt open-source npm, afin d’y recueillir diverses informations auprès des victimes, notamment leurs tokens Discord et leurs données bancaires, et pour espionner leur activité sur la durée.
Le registre npm est une base de données en ligne de paquets publics et de code open-source largement utilisé dans les applications frontales, les applications mobiles, les robots et les routeurs, répondant ainsi aux innombrables besoins de la communauté JavaScript. Sa popularité rend la campagne LofyLife encore plus dangereuse, car elle aurait pu toucher de nombreux utilisateurs du registre.
Les dépôts malveillants qui ont été identifiés se faisaient passer pour des paquets normalement utilisés pour des tâches simples, comme le formatage des titres et certaines fonctions de gaming, mais ils contenaient du code JavaScript et Python malveillant et impénétrable, les rendant plus difficiles à analyser lors de leur transfert vers le dépôt. Le payload infecté comprend un malware écrit en Python, appelé Volt Stealer, et un malware JavaScript, appelé Lofy Stealer, qui possède de nombreuses fonctionnalités.
Volt Stealer a été utilisé pour voler les tokens Discord des ordinateurs infectés et les adresses IP des victimes, puis les télécharger via HTTP. Le Lofy Stealer, un nouveau programme mis au point par les cybercriminels, est capable d’infecter les fichiers clients Discord et de surveiller les actions des victimes. Le programme permet de détecter lorsqu’un utilisateur se connecte, modifie son adresse e-mail ou son mot de passe, active ou désactive l’authentification multifacteur et ajoute de nouvelles méthodes de paiement, y compris l’intégralité des données des cartes de crédit enregistrées. Les informations ainsi collectées sont également enregistrées sur le terminal à distance.
"Les développeurs s’appuient largement sur les référentiels de code open-source. Ils les utilisent pour accélérer le développement de solutions informatiques et les rendre plus efficaces, ce qui contribue considérablement au développement du secteur IT dans son ensemble. Cependant, comme le montre la campagne LofyLife, même les dépôts reconnus ne sont pas toujours fiables par défaut. Tout code, open-source compris, qu’un développeur introduit dans ses programmes relève de sa propre responsabilité. Nous avons ajouté des détections de ce malware à nos produits, afin que les internautes qui utilisent nos solutions puissent voir s’ils ont été infectés, et supprimer le maliciel", commente Leonid Bezvershenko, chercheur en sécurité au sein de l’équipe Global Research and Analysis de Kaspersky.
