Kaspersky Labは7月28日(米国時間)、「LofyLife: malicious npm packages steal Discord tokens and bank card data|Securelist」において、Discordトークンや銀行カードデータを窃取する悪意のあるnpm (Node Package Manager)パッケージを発見したと伝えた。オープンソースリポジトリを監視する社内自動システムを使用したところ、npmリポジトリに4つの不審なパッケージを見つけたという。

  • LofyLife: malicious npm packages steal Discord tokens and bank card data|Securelist

    LofyLife: malicious npm packages steal Discord tokens and bank card data|Securelist

検出された不審なパッケージによるキャンペーンは「LofyLife」と名付けられ、調査によってこれらパッケージにはすべて、高度に難読化された悪意のあるPythonとJavaScriptのマルウェアが仕込まれていることが判明した。

Pythonマルウェアは「Volt Stealer」と呼ばれるオープンソースのトークンロガーの修正版となっており、感染したシステムからDiscordトークンと被害者のIPアドレスを窃取し、HTTP経由でアップロードすることがわかった。

「Lofy Stealer」と名付けられたJavaScriptマルウェアは、被害者の行動を監視するためにDiscordクライアントファイルに感染するよう作成されている。このマルウェアはユーザーのログインや電子メールまたパスワードの変更、多要素認証(MFA: Multi-Factor Authentication)の設定、新たな銀行カードの追加など被害者が新たに追加また変更した情報をすべて検出するよう設計されている。また、窃取された情報はアドレスがハードコーディングされたリモートエンドポイントにアップロードされるようになっていることも明らかとなった。

Kaspersky Labでは新たな悪意のあるnpmパッケージをすべて検出できるよう、リポジトリの更新を常に監視すると報告している。