El 26 de Julio, el sistema interno automático para el monitoreo de repositorios open-source de Kaspersky, ha identificado cuatro paquetes sospechosos dentro del repositorio de Node Package Manager (npm). Todos esos paquetes contenían código malicioso en Python y JavaScript altamente ofuscado, dado al contenido de este hemos debutado la campana como “LofyLife”.
El programa maligno Python es una versión modificada de un token logger de código abierto llamado Volt Stealer. Su intención es robar tokens Discord desde las maquinas infectadas, usando las direcciones IP de las víctimas y subiéndolas vía HTTP.
En consecuencia el programa maligno JavaScript que ha sido bautizado como “Lofy Stealer” fue creado para infectar los clientes Discord para monitorear las acciones de las víctimas. Asi mismo el malware detecta cuando un usuario hace ingresa a la plataforma, cambia el correo o la clave, cuando habilita o deshabilita la autenticación de múltiples factores (MFA) y agrega nuevos métodos de pagos, inclusive los detalles completos de las tarjetas bancarias.
Recolecta toda la información y la sube a un endpoint remoto cuya dirección esta harcodeada en el código fuente.
Los datos extraídos para determinar las instancias de host.
- life.polarlabs.repl[.]co
- sock.polarlabs.repl[.]co
- idk.polarlabs.repl[.]co
Las soluciones Kaspersky detectan esta amenaza con los siguientes veredictos:
- HEUR:Trojan.Script.Lofy.gen
- Trojan.Python.Lofy.a
Kaspersky está constantemente monitoreando las actualizaciones a los repositorios para asegurar que todos los nuevos paquetes maliciosos son detectados.
Línea de tiempo de paquetes actualizados
| Nombre del paquete | Version | Timestamp (UTC) |
| small-sm | 8.2.0 | 2022-07-17 20:28:29 |
| small-sm | 4.2.0 | 2022-07-17 19:47:56 |
| small-sm | 4.0.0 | 2022-07-17 19:43:57 |
| small-sm | 1.1.0 | 2022-06-18 16:19:47 |
| small-sm | 1.0.9 | 2022-06-17 12:23:33 |
| small-sm | 1.0.8 | 2022-06-17 12:22:31 |
| small-sm | 1.0.7 | 2022-06-17 03:36:45 |
| small-sm | 1.0.5 | 2022-06-17 03:31:40 |
| pern-valids | 1.0.3 | 2022-06-17 03:19:45 |
| pern-valids | 1.0.2 | 2022-06-17 03:12:03 |
| lifeculer | 0.0.1 | 2022-06-17 02:50:34 |
| proc-title | 1.0.3 | 2022-03-04 05:43:31 |
| proc-title | 1.0.2 | 2022-03-04 05:29:58 |
Es importante contar con un software antivirus que este actualizado con una base de datos capaz de detectar una amenaza lo antes posible. Kaspersky sigue monitoreando diferentes servidores de nube publica, servicios de almacenamiento y repositorios, para garantizar la seguridad de sus usuarios y empresas.
