El 26 de julio, los analistas de Kaspersky, utilizando el sistema automatizado interno para monitorizar los repositorios de código abierto, identificaron una campaña maliciosa apodada LofyLife.
La campaña empleaba cuatro paquetes maliciosos que difundían el malware Volt Stealer y Lofy Stealer en el repositorio npm de código abierto para recopilar datos de las víctimas, incluyendo tokens de Discord e información de tarjetas de crédito.
El repositorio npm es una colección pública de paquetes de código abierto muy utilizados en aplicaciones web frontend, aplicaciones móviles, robots y routers, así como para atender muchas de las necesidades de la comunidad JavaScript. Su popularidad hace que la campaña de LofyLife sea aún más peligrosa, ya que podría haber afectado a numerosos usuarios del repositorio.
Los repositorios maliciosos identificados se hacían pasar por paquetes para tareas ordinarias -como formatear titulares o ciertas funciones de juego-, sin embargo, contenían código JavaScript y Python malicioso, más difíciles de analizar una vez en el repositorio. El código malicioso contenía malware escrito en Python apodado Volt Stealer, y un malware de JavaScript apodado Lofy Stealer, que posee numerosas características.
Volt Stealer se utilizaba para robar tokens de Discord de los equipos infectadas junto con la dirección IP de la víctima, y subirlos a través de HTTP. Lofy Stealer, un nuevo desarrollo de los ciberdelincuentes, es capaz de infectar los archivos del cliente de Discord y monitorizar las acciones de la víctima, detectando cuando un usuario se conecta, cambios en los correos electrónicos o contraseñas, activa o desactiva la autenticación multifactor y añade nuevos métodos de pago, incluyendo los datos completos de la tarjeta de crédito. La información recopilada también se carga en el endpoint remoto.
“Los desarrolladores dependen en gran medida de los repositorios de código abierto, ya que los utilizan para agilizar y hacer más eficientes los desarrollos de soluciones informáticas y contribuyen de forma significativa a la evolución la industria de las tecnologías de la información en su conjunto. Sin embargo, como muestra la campaña de LofyLife, ni siquiera los repositorios más reputados son de confianza por defecto: todo el código, incluido el abierto, que un desarrollador inyecta en sus productos se convierte en su propia responsabilidad. Hemos añadido detecciones de este malware a nuestros productos, para que los usuarios que ejecuten nuestras soluciones puedan identificar si han sido infectados y eliminar el malware«, comenta Leonid Bezvershenko, analista de seguridad del Equipo de Global Research and Analysis de Kaspersky.
