Les cybercriminels ont trouvé un nouveau moyen de voler votre compte Discord en utilisant le référentiel open source npm ainsi que certaines variantes de logiciels malveillants (s'ouvre dans un nouvel onglet).
Comme l'a rapporté Kaspersky, qui a été le premier à détecter la campagne appelée LofyLife, les criminels ont créé quatre packages malveillants proposant deux variantes de malware différentes : Volt Stealer et Lofy Stealer.
Ces packages ont été distribués via le référentiel, où ils sont adoptés par divers développeurs. Une fois intégré, le logiciel malveillant cherchera à collecter différentes informations auprès des victimes, notamment des jetons Discord, des informations de carte de crédit et d'autres types de données sensibles et potentiellement identifiables.
Suivi des changements de mot de passe
Kaspersky affirme que les packages malveillants sont conçus pour des tâches de base, telles que le formatage de titres ou certaines fonctions de jeu. Cependant, en creusant sous la surface, les chercheurs ont découvert du code JavaScript et Python malveillant obscurci. VoltStealer a été écrit en Python et Lofy Stealer en JavaScript.
VoltStealer est celui qui vole les jetons Discord des points de terminaison compromis. En dehors de cela, il obtient également les adresses IP des victimes et les télécharge via HTTP.
Lofy Stealer, quant à lui, a la capacité d'infecter les fichiers des clients Discord et de surveiller les actions des victimes. Vous pouvez suivre le moment où l'utilisateur se connecte, modifie ses informations de connexion (adresse e-mail et mot de passe (s'ouvre dans un nouvel onglet)), modifie ou désactive l'authentification multifacteur (s'ouvre dans un nouvel onglet) ou ajoute un nouveau mode de paiement, y compris détails de la carte de crédit. Toutes ces données sont ensuite téléchargées sur un serveur distant.
Les acteurs menaçants adorent attaquer Discord car il s’agit de la plate-forme de communication incontournable pour les développeurs, les joueurs et les fans de blockchain et de NFT. En tant que tel, il regorge d’opportunités de fraude potentiellement lucratives.
Le référentiel npm, quant à lui, est une bibliothèque publique de code open source, utilisée par de nombreux développeurs qui créent des applications Web frontales, des applications mobiles, des robots ou des routeurs. Apparemment, la communauté JavaScript s'appuie fortement sur npm, ce qui rend LofyLife encore plus dangereux.