Kaspersky araştırmacıları, 26 Temmuz’da açık kaynak depolarını izlemek için dahili otomatik sistemi kullanan LofyLife adlı kötü niyetli bir …
Kaspersky araştırmacıları, 26 Temmuz’da açık kaynak depolarını izlemek için dahili otomatik sistemi kullanan LofyLife adlı kötü niyetli bir kampanya belirledi. Kampanya, kurbanlardan Discord jetonları ayrıca kredi kartı bilgileri de dahil olmak üzere çeşitli bilgileri toplamak ayrıca vakit içinde casusluk yapmak için Volt Stealer ayrıca Lofy Stealer kötü amaçlı yazılımlarını açık kaynaklı npm deposuna yayan dört ayrı kötü amaçlı paket kullandı.
Npm deposu, ön uçtaki web uygulamalarında, mobil uygulamalarda, robotlarda ayrıca yönlendiricilerde yaygın olarak kullanılan ayrıca JavaScript topluluğunun sayısız ihtiyacını karşılamak için kullanılan açık kaynak kod paketlerinin halka açık bir koleksiyonundan oluşuyor. Bu koleksiyonun popülaritesi LofyLife kampanyasını daha da tehlikeli hale getiriyor, çünkü potansiyel olarak etkilenebilecek kullanıcı sayısı oldukça yüksek.
Tanımlanan kötü amaçlı depolar, başlıkları biçimlendirme veya belirli oyun işlevleri gibi sıradan görevler için kullanılan paketler gibi görünüyor. Ancak bunlar esasında oldukça karmaşık kötü amaçlı JavaScript ayrıca Python kodları içeriyor. Bu da depoya yüklenirken analiz edilmelerini zorlaştırıyor. Kötü amaçlı yük, Python’da yazılmış Volt Stealer adlı kötü amaçlı yazılımdan ayrıca çok sayıda özelliğe sahip Lofy Stealer adlı JavaScript kötü amaçlı yazılımından oluşuyor.
Volt Stealer, Discord jetonlarını etkilenen makinelerden kurbanın IP adresiyle birlikte çalmak ayrıca HTTP aracılığıyla yüklemek için kullanıldı. Saldırganların yeni bir geliştirmesi olan Lofy Stealer, Discord istemci dosyalarına bulaşabiliyor ayrıca kurbanın eylemlerini izleyebiliyor. Bir kullanıcının ne vakit oturum açtığını, e-posta veya şifre ayrıntılarını değiştirdiğini, çok faktörlü kimlik doğrulamasını etkinleştirdiğini veya devre dışı bıraktığını, yeni ödeme yöntemleri ekleyip eklemediğini, tüm kredi kartı bilgilerini ayrıca daha fazlasını görebiliyor. Toplanan bu bilgilendirmeler uzak uç noktaya yükleniyor.
Kaspersky Küresel Araştırma ayrıca Analiz Ekibi güvenlik araştırmacısı Leonid Bezvershenko, şunları söylüyor: “Geliştiriciler büyük ölçüde açık kaynak kod depolarına güveniyorlar ayrıca bunları BT çözümü geliştirmelerini daha hızlı ayrıca daha verimli hale getirmek için kullanıyorlar. Bu yapı bir bütün olarak BT endüstrisinin gelişimine önemli ölçüde katkıda bulunuyor. Ancak LofyLife kampanyasının gösterdiği gibi, saygın depolara bile varsayılan olarak güvenmemek gerekir. Geliştiricilerin ürünlerine enjekte ettiği açık kaynak kodu dahil olmak üzere tüm kodlar kendi sorumluluğundadır. Bu kötü amaçlı yazılımın tespitlerini ürünlerimize ekledik. Böylece çözümlerimize güvenen kullanıcılarıkmız kötü amaçlı yazılımın kendilerine bulaşıp bulaşmadığını belirleyebilecek ayrıca varsa temizleyebilecekler.”
Kaspersky güvenlik ürünleri, LofyLife kötü amaçlı yazılımını Trojan.Python.Lofy.a, Trojan.Script.Lofy.gen olarak algılıyor. Detayları Securelist’te okuyabilirsiniz.