مجرمان سایبری راه تازهای برای سرقت اطلاعات حساب کاربری دیسکورد پیدا کردهاند که در آن از مخزن متنباز npm و همچنین چند نوع بدافزار دیگر برای این کار استفاده میکنند.
برنامهنویسانی که پروژههای خود را به صورت متنباز کار میکنند از مخزن npm برای به اشتراکگذاشتن نرمافزارها استفاده میکنند.
اولین بار شرکت امنیتی کاسپرسکی موفق به شناسنایی این کمپین مخرب شده و نام LofyLife را برای آن انتخاب کرده است. در این حملات خرابکاران اقدام به ساخت 4 بستهی بدافزاری کردهاند که هر کدام دو شکل متفاوت از بدافزار منتشر میکنند: Volt Stealer و Lofy Stealer.
این بستهها از طریق مخزنی توزیع شدهاند که توسعهدهندگان مختلف از آن برای دریافت بستههای نرمافزاری استفاده میکنند. این بدافزارها بعد از نفوذ به کدهای نوشته شده توسط توسعهدهندگان، فرآیند درو کردن اطلاعات مختلف قربانی از جمله توکنهای دیسکورد، مشخصات کارتهای اعتباری و سایر دادههای حساس را شروع میکنند.
ردیابی تغییرات رمزعبور
کاسپرسکی میگوید بستههای مخرب برای انجام کارهای سادهای مثل فرمتبندی عناوین یا انجام بعضی کارهای سادهی بازیها طراحی شدهاند. هر چند تجزیه و تحلیل کدهای این بستهها توسط پژوهشگران مشخص کرد یک سری کدهای مخرب جاوااسکریپت و پایتون در لایههای زیرین آنها مخفی شده است.
VoltStealer بدافزاری است که اقدام به سرقت توکنهای دیسکورد کرده و ضمنا آدرهاس IP قربانی را شناسایی و آنها را از طریق پروتکل HTTP آپلود میکند.
از سوی دیگر Lofy Stealer توانایی آلوده کردن فایلهای کاربران دیسکورد و همچنین پایش فعالیتهای قربانی را دارد. از جملههای تواناییهای Lofy Stealer میتوان به اطلاع از زمان وارد شدن کاربر به سیستم، تغییر اطلاعات ورود (هم ایمیل و هم رمزعبور)، اطلاع از زمان تغییر یا غیرفعال کردن احراز هویت دوگانه، یا اضافه کردن روش پرداخت جدید مثل جزئیات کارتهای اعتباری اشاره کرد. تمامی این دادهها در سرورهای راه دور آپلود خواهند شد.
مجرمان سایبری علاقه خاصی به دیسکورد دارند چرا که محبوبتری بسترهی توسعهدهندگان، گیمرها و فعالان حوزه بلاکچین و NFT است. از همین رو فضای این بستره همواره پر از فرصتهای بالقوه خرابکاری و فریب اینترنتی است.
از سوی دیگر مخزن npm کتابخانهای عمومی از کدهای متنباز است که بسیاری از توسعهدهندگان فضای وب، اپلیکیشنهای موبایل و وب، باتها و روترها از آن استفاده میکنند. جامعه جاوااسکریپت تکیه بسیار زیادی به npm دارد و همین مساله خطر بدافزار LofyLife را چند برابر بیشتر میکند.
