كاسبرسكي: حملة رقمية تخريبية جديدة تهاجم مستخدمي Discord عبر حُزم خبيثة مفتوحة المصدر
كتبت: مروه أبوزاهر
اكتشف باحثو كاسبرسكي، في 26 يوليو الجاري، حملة رقمية تخريبية خبيثة أطلقوا عليها اسم LofyLife، وذلك باستخدام النظام الداخلي المؤتمت الخاص بمراقبة المستودعات مفتوحة المصدر، المعروفة أيضًا بالأرشيفات الحرّة. واستخدَمت الحملة أربع حزم تنشر برمجيتي Volt Stealer وLofy Stealer الخبيثتين في مستودع نظام إدارة الحزم الشهير npm مفتوح المصدر الخاص بلغة البرمجة JavaScript، بهدف جمع معلومات مختلفة من الضحايا المستهدفين، كرموز التطبيق Discord ومعلومات البطاقات المصرفية، فضلًا عن التجسّس عليهم.
ويُعدّ مستودع النظام npm مجموعة عامة من حزم التعليمات البرمجية مفتوحة المصدر المستخدمة على نطاق واسع في تطبيقات الويب الأمامية وتطبيقات الأجهزة المحمولة والروبوتات وأجهزة الراوتر، ولخدمة الاحتياجات المتنوعة لمجتمع مبرمجي JavaScript. وتتسم حملة LofyLife بالخطورة نظرًا للشعبية الواسعة للنظام npm، ما يُرجّح تأثيرها في كثير من مستخدمي المستودع.
ويبدو أن الحزم الخبيثة المكتشفة تُستخدم في مهام اعتيادية، مثل تنسيق العناوين الرئيسة، أو إنجاز وظائف معينة في الألعاب، ولكنها تحتوي على برمجيتي JavaScript وPython خبيثتين شديدتي التخريب، ما صعّب تحليل تلك الحزم عند تحميلها في بادئ الأمر إلى المستودع. وتتكون الحمولة الخبيثة في الحزم من برمجية خبيثة مكتوبة بلغة Python يُطلق عليها اسم Volt Stealer، وبرمجية خبيثة أخرى بلغة JavaScript تُدعى Lofy Stealer، وتحظى بالعديد من القدرات.
واستُخدمت برمجية Volt Stealer لسرقة رموز Discord من الأجهزة المصابة بالإضافة إلى عناوين IP، وتحميلها عبر بروتوكول HTTP. أما Lofy Stealer، التي تُعدّ خطوة جديدة من قبل المهاجمين، فباستطاعتها إصابة ملفات Discord في أجهزة المستخدمين ومراقبة ممارسات المستخدم الضحية، كوقت تسجيل الدخول إلى التطبيق، وتغيير تفاصيل البريد الإلكتروني أو كلمة المرور، وتمكين المصادقة متعدّدة العوامل أو تعطيلها، وإضافة طرق دفع جديدة وتفاصيلها الكاملة. ويجري أيضًا تحميل المعلومات المجمّعة وإرسالها إلى جهاز بعيد.
وقال ليونيد بزفرشينكو الباحث الأمني في فريق البحث والتحليل العالمي لدى كاسبرسكي، إن مطوري البرمجيات يعتمدون اعتمادًا كبيرًا على مستودعات الشيفرات البرمجية مفتوحة المصدر، إذ يستخدمونها في تطوير حلول تقنية أسرع وأكثر كفاءة، فيساهمون مساهمة فعالة في تطوير قطاع تقنية المعلومات. وأضاف: “أكّدت حملة LofyLife أنه لا يمكن الاطمئنان تمامًا إلى المستودعات البرمجية، حتى ذات السمعة الطيبة، والتسليم بأنها آمنة بالمطلق، فكلّ الشيفرات البرمجية، بما فيها مفتوحة المصدر، التي يستخدمها المطوّرون في منتجاتهم تجعلهم مسؤولين عنها وعن محتواها. وقد أضفنا هذه البرمجيات الخبيثة المكتشفة إلى حلولنا الأمنية ليتمكن مستخدمو هذه الحلول من تحديد ما إذا كانوا تعرضوا للإصابة بهذه البرمجيات، وإزالتها في هذه الحالة”.
وتكتشف حلول كاسبرسكي الأمنية برمجيات LofyLife الخبيثة بالوصفين Trojan.Python.Lofy.a وTrojan.Script.Lofy.gen.