🕵️♀Касперскийн лабораторийн мэргэжилтнүүд LofyLife хэмээх хортой кампанит ажлыг илрүүлжээ. Халдагчид Discord хэрэглэгчийн жетон болон холбогдох банкны картын мэдээллийг хайж, хохирогчдынхоо үйл ажиллагааг хянаж байжээ. Халдагчид NPM нээлттэй эхийн репозитор дахь Volt Stealer болон Lofy Stealer хортой программыг түгээдэг дөрвөн халдвартай багцыг ашигласан.
NPM репозитор нь гадаад вэб програмууд, гар утасны програмууд, роботууд болон чиглүүлэгчид болон JavaScript нийгэмлэгийн янз бүрийн хэрэгцээнд өргөн хэрэглэгддэг нээлттэй эхийн багцуудын нийтийн цуглуулга юм. Хадгалах газрын алдартай нь LofyLife кампанит ажлын аюулыг нэмэгдүүлдэг, учир нь энэ нь хадгалах сангийн олон хэрэглэгчдэд нөлөөлж болзошгүй юм.
Халдлага үйлдэгчид Volt Stealer программыг ашиглан халдвар авсан төхөөрөмжүүдээс Discord токен болон хохирогчийн IP хаягийг хулгайлж, HTTP-ээр дамжуулан татаж авсан. Lofy Stealer нь Discord клиентийн файлуудыг халдварлах, хохирогчийн үйл ажиллагааг хянах чадвартай – хэрэглэгч нэвтэрч орох үед и-мэйл хаяг эсвэл нууц үгээ өөрчлөх, олон хүчин зүйлийн баталгаажуулалтыг идэвхжүүлэх, идэвхгүй болгох, төлбөрийн шинэ аргыг нэмэх боломжтой. Түүнчлэн, хортой програм нь зээлийн картын дэлгэрэнгүй мэдээллийг хянах боломжтой. Цуглуулсан мэдээллийг мөн халдагчдын удирддаг серверт байршуулдаг.
Касперскийн лабораторийн бүтээгдэхүүнүүд LofyLife хортой программыг Trojan.Python.Lofy.a, Trojan.Script.Lofy.gen гэж илрүүлдэг.