تستخدم مجموعة التهديد LofyGang أكثر من 200 حزمة NPM ضارة مع الآلاف من التركيبات لسرقة بيانات بطاقة الائتمان وحسابات الألعاب والتدفق ، قبل نشر بيانات الاعتماد المسروقة والنهب في منتديات القرصنة السرية.
وفقًا لتقرير صادر عن Checkmarx ، فإن مجموعة الهجمات الإلكترونية تعمل منذ عام 2020 ، مما أدى إلى إصابة سلاسل التوريد مفتوحة المصدر بـ الحزم الخبيثة في محاولة لتسليح تطبيقات البرمجيات.
يعتقد فريق البحث أن المجموعة قد يكون لها أصول برازيلية ، بسبب استخدام البرتغالية البرازيلية وملف يسمى "brazil.js". التي تحتوي على برامج ضارة تم العثور عليها في بضع حزم ضارة.
يفصل التقرير أيضًا تكتيك المجموعة بتسريب الآلاف من حسابات Disney + و Minecraft إلى مجتمع قرصنة تحت الأرض باستخدام الاسم المستعار DyPolarLofy والترويج لأدوات القرصنة الخاصة بهم عبر GitHub.
"لقد رأينا عدة فئات من الحمولات الضارة ، وسرقة كلمات المرور العامة ، والبرامج الضارة المستمرة الخاصة بـ Discord ؛ تم تضمين بعضها داخل الحزمة ، وقام البعض بتنزيل الحمولة الضارة أثناء وقت التشغيل من خوادم C2 " تقرير الجمعة وأشار.
LofyGang يعمل مع الإفلات من العقاب
قامت المجموعة بنشر تكتيكات بما في ذلك الكتابة المطبعية ، والتي تستهدف أخطاء الكتابة في سلسلة التوريد مفتوحة المصدر ، بالإضافة إلى "StarJacking" ، حيث يتم ربط عنوان URL الخاص بـ GitHub repo الخاص بالحزمة بمشروع GitHub شرعي غير ذي صلة.
"لا يقوم مديرو الحزم بالتحقق من صحة هذا المرجع ، ونرى المهاجمين يستغلون ذلك بالقول إن مستودع Git لحزمهم شرعي وشائع ، مما قد يخدع الضحية للاعتقاد بأن هذه حزمة شرعية بسبب ما يسمى شعبية "، ذكر التقرير.
إن انتشار البرمجيات مفتوحة المصدر ونجاحها جعلها هدفًا ناضجًا للجهات الفاعلة الخبيثة مثل LofyGang ، كما يوضح جوزيف هاروش ، رئيس مجموعة هندسة أمن سلسلة التوريد في Checkmarx.
ويرى أن الخصائص الرئيسية لـ LofyGang تشمل قدرتها على بناء مجتمع كبير للقراصنة ، وإساءة استخدام الخدمات المشروعة مثل خوادم القيادة والتحكم (C2) ، وجهودها في تدمير النظام البيئي مفتوح المصدر.
يستمر هذا النشاط حتى بعد ثلاثة تقارير مختلفة - من سوناتايب, Securelistو jFrog - كشف جهود LofyGang الخبيثة.
يقول: "يظلون نشيطين ويستمرون في نشر الحزم الخبيثة في ساحة سلسلة توريد البرمجيات".
من خلال نشر هذا التقرير ، يقول هاروش إنه يأمل في زيادة الوعي بتطور المهاجمين ، الذين يقومون الآن ببناء مجتمعات باستخدام أدوات اختراق مفتوحة المصدر.
ويضيف: "يعتمد المهاجمون على الضحايا حتى لا يولوا اهتمامًا كافيًا بالتفاصيل". "وبصراحة ، حتى أنا ، مع سنوات من الخبرة ، من المحتمل أن أقع في بعض هذه الحيل لأنها تبدو وكأنها حزم مشروعة للعين المجردة."
المصدر المفتوح ليس مصممًا للأمان
يشير Harush إلى أنه للأسف لم يتم إنشاء النظام البيئي مفتوح المصدر للأمان.
يقول: "بينما يمكن لأي شخص التسجيل ونشر حزمة مفتوحة المصدر ، لا توجد عملية تدقيق للتحقق مما إذا كانت الحزمة تحتوي على تعليمات برمجية ضارة".
A الأخيرة تقرير كشفت شركة Snyk و Linux Foundation لأمن البرمجيات أن حوالي نصف الشركات لديها سياسة أمان برمجيات مفتوحة المصدر لتوجيه المطورين في استخدام المكونات والأطر.
ومع ذلك ، وجد التقرير أيضًا أن أولئك الذين لديهم مثل هذه السياسات المعمول بها يظهرون بشكل عام أمانًا أفضل - جوجل هو كذلك إتاحتها عملية فحص البرامج وتصحيحها لمشكلات الأمان للمساعدة في إغلاق السبل أمام المتسللين.
ويوضح قائلاً: "نرى المهاجمين يستغلون هذا لأنه من السهل جدًا نشر حزم ضارة". "الافتقار إلى صلاحيات التدقيق في تمويه الحزم لتبدو شرعية مع الصور المسروقة أو الأسماء المتشابهة أو حتى الإشارة إلى مواقع ويب مشاريع Git المشروعة الأخرى فقط لمعرفة أنها تحصل على عدد نجوم المشاريع الأخرى على صفحات الحزم الضارة الخاصة بها."
التوجه نحو هجمات سلسلة التوريد؟
من منظور Harush ، وصلنا إلى النقطة التي يدرك فيها المهاجمون الإمكانات الكاملة لسطح هجوم سلسلة التوريد مفتوح المصدر.
"أتوقع أن تتطور هجمات سلسلة التوريد مفتوحة المصدر بشكل أكبر إلى مهاجمين يهدفون ليس فقط إلى سرقة بطاقة ائتمان الضحية ، ولكن أيضًا بيانات اعتماد مكان عمل الضحية ، مثل حساب GitHub ، ومن هناك ، تهدف إلى تحقيق الفوز بالجوائز الكبرى لهجمات سلسلة توريد البرامج ،" هو يقول.
سيشمل ذلك القدرة على الوصول إلى مستودعات الأكواد الخاصة بمكان العمل ، مع القدرة على المساهمة في الكود أثناء انتحال شخصية الضحية ، وزرع الأبواب الخلفية في برامج الشركات ، والمزيد.
يضيف هاروش: "يمكن للمؤسسات حماية نفسها من خلال فرض مصادقة ثنائية على مطوريها بشكل صحيح ، وتثقيف مطوري البرامج لديهم حتى لا يفترضوا أن الحزم مفتوحة المصدر الشائعة آمنة إذا بدا أنها تحتوي على العديد من التنزيلات أو النجوم" ، وأن تكون متيقظًا تجاه المشبوهة الأنشطة في حزم البرامج ".
