Kaspersky araştırmacıları, 26 Temmuz’da açık kaynak depolarını izlemek için dahili otomatik sistemi kullanan LofyLife adlı kötü niyetli bir kampanya belirledi. Kampanya, kurbanlardan Discord jetonları ve kredi kartı bilgileri de dahil olmak üzere çeşitli bilgileri toplamak ve zaman içinde casusluk yapmak için Volt Stealer ve Lofy Stealer kötü amaçlı yazılımlarını açık kaynaklı npm deposuna yayan dört ayrı kötü amaçlı paket kullandı.
Npm deposu, ön uçtaki web uygulamalarında, mobil uygulamalarda, robotlarda ve yönlendiricilerde yaygın olarak kullanılan ve JavaScript topluluğunun sayısız ihtiyacını karşılamak için kullanılan açık kaynak kod paketlerinin halka açık bir koleksiyonundan oluşuyor. Bu koleksiyonun popülaritesi LofyLife kampanyasını daha da tehlikeli hale getiriyor, çünkü potansiyel olarak etkilenebilecek kullanıcı sayısı oldukça yüksek.