Gli attori delle minacce utilizzano ancora una volta il repository node package manager (npm) per nascondere il malware che può rubare i token Discord per monitorare le sessioni utente e rubare dati sulla popolare piattaforma di chat e collaborazione, hanno scoperto i ricercatori.
Una campagna scoperta questa settimana dai ricercatori di Kaspersky nasconde un logger di token open source insieme a un nuovo malware JavaScript nei pacchetti npm. La campagna, soprannominata LofyLife, ha lo scopo di rubare i token Discord e gli indirizzi IP delle vittime dalle macchine infette, hanno detto in un post sul blog Secure List pubblicato giovedì.
I ricercatori stavano monitorando i repository open source martedì quando hanno notato attività sospette sotto forma di quattro pacchetti contenenti "codice Python e JavaScript dannoso altamente offuscato" nel repository npm, hanno scritto nel post.
Il codice Python si è rivelato essere una versione modificata del token logger open source Volt Stealer, mentre il nuovo malware JavaScript, soprannominato "LofyStealer", è stato creato per infettare i file client Discord in modo che gli attori delle minacce possano monitorare le azioni della vittima, hanno detto i ricercatori.
"Rileva quando un utente accede, modifica e-mail o password, abilita / disabilita l'autenticazione a più fattori (MFA) e aggiunge nuovi metodi di pagamento, inclusi i dettagli completi della carta di credito", hanno scritto i ricercatori Igor Kuznetsov e Leonid Bezvershenko. "Le informazioni raccolte vengono anche caricate sull'endpoint remoto il cui indirizzo è hardcoded."
Npm come minaccia per la supply chain
Il repository npm è una casa open source per gli sviluppatori JavaScript per condividere e riutilizzare blocchi di codice che possono quindi essere riutilizzati per creare varie applicazioni web. Il repository rappresenta una catena di approvvigionamento significativa dato che se è danneggiato, il codice dannoso viene propagato in qualsiasi app che lo utilizza e quindi può essere utilizzato per attaccare la miriade di utenti di tali app.
In effetti, attaccare i repository open source può essere un modo insolitamente furtivo per gli attori delle minacce di colpire decine di app e utenti in un colpo solo. Ciò è stato reso abbondantemente chiaro con l'ormai famigerata debacle di Log4Shell, quando un difetto zero-day nell'onnipresente libreria di registrazione Java Apache Log4j utilizzata da innumerevoli app Web ha minacciato di rompere Internet.
"Molte persone presumevano che il software creato da un fornitore fosse interamente creato da quel fornitore, ma in realtà potrebbero esserci centinaia di librerie di terze parti che compongono anche il software più semplice", ha osservato Tim Mackey, principale stratega della sicurezza presso il Synopsys Cybersecurity Research Center, in una e-mail a Threatpost.
Questa ampia superficie di attacco non è passata inosservata agli attori delle minacce, che sempre più spesso prendono di mira i repository open source per nascondere malware che possono nascondersi insospettati su più piattaforme.
"Qualsiasi vettore di attacco in grado di raggiungere un numero significativo di obiettivi o un numero di obiettivi significativi è di interesse per gli attori delle minacce", ha scritto Casey Bisson, responsabile dell'abilitazione del prodotto e degli sviluppatori presso la società di sicurezza del codice BluBracket, in una e-mail a Threatpost.
Discordia nel mirino
Npm è diventato un obiettivo particolarmente attraente per gli attori delle minacce in quanto non solo ha decine di milioni di utenti, ma anche i pacchetti ospitati dal repository sono stati scaricati miliardi di volte.
"È utilizzato sia dagli sviluppatori esperti di Node.js sia da coloro che lo utilizzano casualmente come parte di altre attività", ha osservato Bisson. "I moduli Npm sono utilizzati sia nelle applicazioni di produzione .js Node, sia negli strumenti di sviluppo per applicazioni che altrimenti non utilizzerebbero Node. Questo uso onnipresente tra gli sviluppatori lo rende un grande obiettivo".
In effetti, LofyLife non è la prima volta che gli attori delle minacce hanno utilizzato npm per colpire gli utenti di Discord. A dicembre, i ricercatori di JFrog hanno identificato una serie di 17 pacchetti npm dannosi con payload e tattiche variabili che hanno preso di mira la piattaforma di riunioni virtuali, che viene utilizzata da 350 milioni di utenti e consente la comunicazione tramite chiamate vocali, videochiamate, messaggi di testo e file.
In precedenza, nel gennaio 2021, altri ricercatori hanno scoperto tre pacchetti npm dannosi dagli attori delle minacce dietro il malware CursedGrabber volto a rubare token Discord e altri dati dagli utenti della piattaforma.
Kaspersky, tra le altre società di sicurezza, monitora costantemente gli aggiornamenti dei repository npm per garantire che tutti i nuovi pacchetti dannosi vengano rilevati e rimossi, hanno detto i ricercatori.