LofyGang-trusselsgruppen bruger mere end 200 ondsindede NPM-pakker med tusindvis af installationer til at stjæle kreditkortdata og spil- og streamingkonti, før de spreder stjålne legitimationsoplysninger og tyvegods i underjordiske hackingfora.
Ifølge en rapport fra Checkmarx har cyberangrebsgruppen været i drift siden 2020 og inficeret open source-forsyningskæder med ondsindede pakker i et forsøg på at bevæbne softwareapplikationer.
Forskerholdet mener, at gruppen kan have brasiliansk oprindelse på grund af brugen af brasiliansk portugisisk og en fil kaldet "brazil.js." som indeholdt malware fundet i et par af deres ondsindede pakker.
Rapporten beskriver også gruppens taktik med at lække tusindvis af Disney+- og Minecraft-konti til et underjordisk hackerfællesskab ved at bruge aliaset DyPolarLofy og promovere deres hackingværktøjer via GitHub.
"Vi så adskillige klasser af ondsindet nyttelast, generelle adgangskodetyvere og Discord-specifik vedvarende malware; nogle var indlejret i pakken, og nogle downloadede den ondsindede nyttelast under kørsel fra C2-servere," Fredags rapport noteret.
LofyGang opererer ustraffet
Gruppen har implementeret taktikker, herunder typosquatting, som er rettet mod tastefejl i open source-forsyningskæden, såvel som "StarJacking", hvorved pakkens GitHub-repo-URL er knyttet til et ikke-relateret legitimt GitHub-projekt.
“Pakkeadministratorerne validerer ikke nøjagtigheden af denne reference, og det ser vi, at angribere udnytter ved at sige, at deres pakkes Git-lager er legitimt og populært, hvilket kan snyde offeret til at tro, at dette er en legitim pakke på grund af dens såkaldte popularitet,” hedder det i rapporten.
Allestedsnærværelsen og succesen af open source-software har gjort det til et modent mål for ondsindede aktører som LofyGang, forklarer Jossef Harush, leder af Checkmarx' forsyningskædesikkerhedsingeniørgruppe.
Han ser LofyGangs nøglekarakteristika som inkluderende dets evne til at opbygge et stort hackerfællesskab, misbruge legitime tjenester som kommando-og-kontrol (C2)-servere og dets bestræbelser på at forgifte open source-økosystemet.
Denne aktivitet fortsætter selv efter tre forskellige rapporter — fra Sonatype, Securelistog jFrog — afslørede LofyGangs ondsindede indsats.
"De forbliver aktive og fortsætter med at udgive ondsindede pakker i softwareforsyningskædens arena," siger han.
Ved at udgive denne rapport, siger Harush, at han håber at øge bevidstheden om udviklingen af angribere, som nu bygger fællesskaber med open source hack-værktøjer.
"Angribere regner med, at ofrene ikke er opmærksomme nok på detaljerne," tilføjer han. "Og ærligt talt, selv jeg, med mange års erfaring, ville potentielt falde for nogle af disse tricks, da de virker som legitime pakker for det blotte øje."
Open Source ikke bygget til sikkerhed
Harush påpeger, at open source-økosystemet desværre ikke blev bygget til sikkerhed.
"Selvom alle kan tilmelde sig og udgive en open source-pakke, er der ingen kontrolproces på plads for at kontrollere, om pakken indeholder ondsindet kode," siger han.
En nylig indberette fra softwaresikkerhedsfirmaet Snyk og Linux Foundation afslørede, at omkring halvdelen af virksomhederne har en open source-softwaresikkerhedspolitik på plads for at vejlede udviklere i brugen af komponenter og rammer.
Men rapporten fandt også, at de, der har sådanne politikker på plads, generelt udviser bedre sikkerhed - det er Google stille til rådighed dens proces med at undersøge og patche software for sikkerhedsproblemer for at hjælpe med at lukke veje for hackere.
"Vi ser, at angribere udnytter dette, fordi det er super nemt at udgive ondsindede pakker," forklarer han. "Manglen på kontrolbeføjelser til at skjule pakkerne til at fremstå legitime med stjålne billeder, lignende navne eller endda henvise til andre legitime Git-projekters websteder, bare for at se, at de får de andre projekters stjerner på deres ondsindede pakkesider."
På vej mod forsyningskædeangreb?
Fra Harushs perspektiv er vi ved at nå det punkt, hvor angribere indser det fulde potentiale af open source-forsyningskædens angrebsoverflade.
"Jeg forventer, at open source-forsyningskædeangreb udvikler sig yderligere til angribere, der sigter mod at stjæle ikke kun ofrets kreditkort, men også ofrets legitimationsoplysninger på arbejdspladsen, såsom en GitHub-konto, og derfra sigte mod de større jackpots af softwareforsyningskædeangreb. ," han siger.
Dette vil omfatte muligheden for at få adgang til en arbejdsplads's private kodelagre, med muligheden for at bidrage med kode, mens man efterligner offeret, plante bagdøre i software i virksomhedskvalitet og mere.
"Organisationer kan beskytte sig selv ved korrekt at håndhæve deres udviklere med to-faktor autentificering, uddanne deres softwareudviklere til ikke at antage, at populære open source-pakker er sikre, hvis de ser ud til at have mange downloads eller stjerner," tilføjer Harush, "og at være på vagt over for mistænkelige. aktiviteter i softwarepakker."
