Numerosos usuarios del repositorio de código abierto Node Package Manager (npm) han podido verse afectados por una peligrosa campaña que empleaba cuatro paquetes maliciosos que difundían malware para recopilar datos de las víctimas, incluyendo tokens de Discord e información de tarjetas de crédito. Así lo ha alertado Kaspersky, que detectó esta campaña el pasado 26 de julio y la ha bautizado como "LofyLife".
Según explica la compañía de ciberseguridad en un comunicado, emitido este mismo lunes, los repositorios maliciosos identificados se hacían pasar por paquetes para tareas ordinarias, como formatear titulares o ciertas funciones de juego. Sin embargo, advierte que contenían un malware escrito en Phyton apodado 'Volt Stealer', y un malware de JavaScript denominado 'Lofy Stealer' que posee numerosas características.
"Volt Stealer se utilizaba para robar tokens de Discord de los equipos infectadas junto con la dirección IP de la víctima, y subirlos a través de HTTP", señala Kaspersky.
En cuanto a Lofy Stealer, indica que se trata de un nuevo desarrollo de los ciberdelincuentes que es capaz de infectar los archivos del cliente de Discord y monitorizar las acciones de la víctima, detectando cuando un usuario se conecta, cambios en los correos electrónicos o contraseñas. Además, apunta que también puede activar o desactivar la autenticación multifactor y añadir nuevos métodos de pago, incluyendo los datos completos de la tarjeta de crédito, y que la información recopilada también se carga en el endpoint remoto.
En palabras de Leonid Bezvershenko, analista de seguridad del Equipo de Global Research and Analysis de Kaspersky: "Los desarrolladores dependen en gran medida de los repositorios de código abierto, ya que los utilizan para agilizar y hacer más eficientes los desarrollos de soluciones informáticas y contribuyen de forma significativa a la evolución la industria de las tecnologías de la información en su conjunto. Sin embargo, como muestra la campaña de LofyLife, ni siquiera los repositorios más reputados son de confianza por defecto: todo el código, incluido el abierto, que un desarrollador inyecta en sus productos se convierte en su propia responsabilidad. Hemos añadido detecciones de este malware a nuestros productos, para que los usuarios que ejecuten nuestras soluciones puedan identificar si han sido infectados y eliminar el malware".