اطلاعات کاربران Discord به سرقت میرود!

اطلاعات کاربران Discord به سرقت میرود!

بسته های مخرب npm اطلاعات کارت پرداخت کاربران Discord را به سرقت می برند پکیج های مخرب npm برای آلوده کردن کاربران Discord با بدافزاری که اطلاعات کارت های بانکی آنها را می‌دزدد، استفاده می‌شود. به گفته محققان امنیتی کسپرسکی، ایگور کوزنتسوف و لئونید بزورشن

بسته های مخرب npm اطلاعات کارت پرداخت کاربران Discord را به سرقت می برند پکیج های مخرب npm برای آلوده کردن کاربران Discord با بدافزاری که اطلاعات کارت های بانکی آنها را می‌دزدد، استفاده می‌شود. به گفته محققان امنیتی کسپرسکی، ایگور کوزنتسوف و لئونید بزورشنکو، بدافزارهای  مورد استفاده در این حملات، گونه‌ای Token logger است که مبتنی بر پایتون و Volt Stealer می باشد، و گونه ای دیگر که مبتنی بر جاوا اسکریپت با نام Lofy Stealer.

محققان گفتند: "در 26 جولای، با استفاده از سیستم های اوپن سورس مانتورنیگ داخلی بر ریپازیتوری ها، ما چهار پکیج مشکوک را در ریپازیتوری Node Package Manager (npm) شناسایی کردیم. همه این بسته ها حاوی کدهای بسیار مخرب و مبهم پایتون و جاوا اسکریپت بودند. ما به این کمپین مخرب راLofyLife"  لقب دادیم."

این بدافزار به طور خودکار پس از نصب ماژول های مخرب npm small-sm، pern-valids، lifeculer یا proc-title مستقر می شود. پس از نصب، ورینت های Volt Stealer توکن‌های Discord و اطلاعات سیستم، از جمله آدرس IP قربانیان را جمع‌آوری می‌کند.

Lofy Stealer اقدامات قربانیان، مانند ورود به Discord، تلاش برای تغییر اطلاعات کاربری، احراز هویت چند عاملی، یا افزودن روش‌های پرداخت جدید را جهت سرقت حساب‌های Discord و اطلاعات بانکی آنها را نظارت می‌کند.

اطلاعات دزدیده شده در سرورهای تحت کنترل مهاجم بارگذاری می­شود

پس از جمع‌آوری این داده ها، در Replit-hosted آپلود می‌شوند که آدرس‌های آن‌ها در داخل بدافزار کدگذاری شده است  مانند life.polarlabs.repl[.]co, sock.polarlabs.repl[.]co, idk.polarlabs.repl[.]co

کسپرسکی اضافه کرد که آنها همچنان به‌روزرسانی‌های ریپازیتوری های npm را زیر نظر دارند تا مطمئن شوند که همه پکیج‌های مخرب جدید شناسایی و حذف می‌شوند.

این موضوع به کرات در بین پکیج ‌های مخرب npm مشاهده شده است، و نمونه تنها یکی از حمله هایی است که به‌طور خاص برای هدف قرار دادن کاربران Discord در سال‌های اخیر با دزدان اطلاعات طراحی شده است.

به عنوان مثال، در سال 2019، بدافزاری با نام Spidey Bot برای تغییر کلاینت Windows Discord به منظورایجاد درب پشتی استقرار یک تروجان سرقت اطلاعات استفاده شد.

، در سرقت اطلاعات کاربر و اطلاعات مرورگر کاربران Discord، همچنین کتابخانه‌های مخرب npm و PyPI و نصب بدافزار پاک‌کننده داده‌های MBRLocker که خود را Monster Ransomware می‌نامند، مورد استفاده قرار میگیرند.

منبع: www.bleepingcomputer.com