Lofy Stealer

Investigadores de seguridad cibernética han descubierto una campaña amenazante dirigida a los datos y tokens de Discord de sus víctimas. La información sobre la operación y las amenazas de malware utilizadas por los atacantes se publicó en un informe de expertos en malware. Según sus hallazgos, los actores de amenazas están utilizando paquetes armados npm (Node Package Manager) para entregar dos malware diferentes: un código de Python ofuscado que pertenece a una amenaza conocida como Volt Stealer y un malware de JavaScript llamado Lofy Stealer. La campaña de ataque en su conjunto se rastrea como LofyLife.

Los cuatro módulos npm corruptos difundidos por los piratas informáticos se denominan 'small-sm', 'pern-valids', 'lifeculer' o 'proc-title'. Después de ejecutarse, dejarán caer el malware asociado en el sistema de la víctima. Lofy Stealer está diseñado específicamente para infectar los archivos del cliente Discord del usuario objetivo. Si lo hace, permite a los atacantes monitorear las actividades de la víctima. Para ser más precisos, Lofy Stealer es capaz de detectar cuándo el usuario inicia sesión en Discord, si realiza algún cambio en el correo electrónico o la contraseña relacionada con la cuenta, y si MFA (autenticación multifactor) está habilitado o deshabilitado. Más importante aún, Lofy Stealer puede reconocer cuando los usuarios agregan un nuevo método de pago y recopilará todos los detalles de pago ingresados.

Todos los datos recolectados luego se transmiten a los servidores alojados en Replit bajo el control del actor de amenazas. Estas direcciones de los servicios disponibles están codificadas en las amenazas de malware. Los investigadores de Infosec advierten que los ciberdelincuentes responsables de la operación LofyLife podrían lanzar nuevos paquetes npm maliciosos.