Seguridad
El pasado 26 de julio, los analistas de Kaspersky, usando el sistema automatizado interno para monitorizar los repositorios de código abierto, llegaron a identificar una campaña maliciosa de apodo LofyLife. La campaña empleaba cuatro paquetes maliciosos capaces de difundir el malware Volt Stealer y Lofy Stealer en el repositorio npm de código abierto, llegando a encontrar diferentes datos de las víctimas, incluyendo tokens de Discord o información de tarjetas de crédito.
Repositorio npm
El repositorio npm se trata de una colección pública de paquetes de código abierto especialmente utilizados en aplicaciones web frontend, aplicaciones móviles, routers y robots, así como para atender la mayoría de las necesidades de la comunidad JavaScript. Y es que su popularidad provoca que la campaña de LofyLife se haya convertido en todavía más peligrosa afectando, incluso, a numerosos usuarios del repositorio.
¿Cuáles han sido los repositorios maliciosos identificados?
Los que se hacían pasar por paquetes para tareas ordinarias, por ejemplo, para formatear titulares o ciertas funciones de juego. Además, contenían código JavaScript y Python malicioso, mucho más difíciles de analizar una vez en el repositorio. El código malicioso incorporaba malware escrito en Python apodado Volt Stealer. También un malware de JavaScript de nombre Lofy Stealer y numerosas características relacionadas.
Volt Stealer
Volt Stealer se utilizaba para robar tokens de Discord de los equipos infectados. También la dirección IP de la víctima. Posteriormente, lo subían mediante HTTP. Lofy Stealer, un nuevo desarrollo de los ciberdelincuentes, infectando los archivos del cliente de Discord y monitorizando las acciones de la víctima, detectaba cuando un usuario se conectaba, diferentes cambios en los correos electrónicos o también contraseñas, activando o desactivando la autenticación multifactor, para añadir nuevos métodos de pago, incluyendo los datos completos de la tarjeta de crédito. La información que se obtiene también se carga en el endpoint remoto.
Repositorios de código abierto
“Los desarrolladores dependen mucho de los repositorios de código abierto, ya que los usan para agilizar y también hacer más eficientes los desarrollos de soluciones informáticas, contribuyendo de manera significativa a la evolución y a la industria de las tecnologías de la información, en todo su conjunto. De todos modos, y como lo demuestra la campaña de LofyLife, tampoco los repositorios más reputados son de total confianza por defecto. Y es que todo el código, también el abierto, se trata de un desarrollador que inyecta en sus productos su propia responsabilidad. De hecho, hemos incluido detecciones de este malware a nuestros productos, para que aquellos usuarios que decidan ejecutar nuestras soluciones vean si han sido infectados y eliminar el malware", argumenta Leonid Bezvershenko, Analista de Seguridad del Equipo de Global Research and Analysis de Kaspersky.
Mayoristas Recomendados
Hardware
Software
Seguridad
Sistemas
Gaming
Impresión
Educación
Telecomunicaciones
