Die LofyGang-Bedrohungsgruppe verwendet mehr als 200 bösartige NPM-Pakete mit Tausenden von Installationen, um Kreditkartendaten sowie Spiel- und Streaming-Konten zu stehlen, bevor sie gestohlene Zugangsdaten und Beute in Untergrund-Hacking-Foren verbreitet.
Laut einem Bericht von Checkmarx ist die Cyberattack-Gruppe seit 2020 im Einsatz und infiziert Open-Source-Lieferketten mit bösartige Pakete in dem Bemühen, Softwareanwendungen zur Waffe zu machen.
Das Forschungsteam glaubt, dass die Gruppe aufgrund der Verwendung von brasilianischem Portugiesisch und einer Datei namens „brazil.js“ brasilianischen Ursprungs sein könnte. die Malware enthielt, die in einigen ihrer bösartigen Pakete gefunden wurde.
Der Bericht beschreibt auch die Taktik der Gruppe, Tausende von Disney+- und Minecraft-Konten unter dem Alias DyPolarLofy an eine Untergrund-Hacking-Community weiterzugeben und ihre Hacking-Tools über GitHub zu bewerben.
„Wir haben mehrere Klassen bösartiger Payloads, allgemeine Passwortdiebe und Discord-spezifische persistente Malware gesehen; Einige waren in das Paket eingebettet, und einige luden die bösartige Nutzlast während der Laufzeit von C2-Servern herunter“, so die Bericht vom Freitag notiert.
LofyGang arbeitet ungestraft
Die Gruppe hat Taktiken wie Typosquatting eingesetzt, das auf Tippfehler in der Open-Source-Lieferkette abzielt, sowie „StarJacking“, bei dem die GitHub-Repo-URL des Pakets mit einem nicht verwandten legitimen GitHub-Projekt verknüpft wird.
„Die Paketmanager validieren die Genauigkeit dieser Referenz nicht, und wir sehen, dass Angreifer dies ausnutzen, indem sie angeben, dass das Git-Repository ihres Pakets legitim und beliebt ist, was das Opfer dazu verleiten kann, aufgrund seines sogenannten Popularität“, heißt es in dem Bericht.
Die Allgegenwart und der Erfolg von Open-Source-Software haben sie zu einem attraktiven Ziel für böswillige Akteure wie LofyGang gemacht, erklärt Jossef Harush, Leiter der Supply Chain Security Engineering Group von Checkmarx.
Er sieht die Hauptmerkmale von LofyGang darin, dass es eine große Hacker-Community aufbauen kann, legitime Dienste als Command-and-Control-Server (C2) missbraucht und sich bemüht, das Open-Source-Ökosystem zu vergiften.
Diese Aktivität wird auch nach drei verschiedenen Berichten fortgesetzt – von Sonatyp, Secure und jFrosch – deckte die böswilligen Bemühungen von LofyGang auf.
„Sie bleiben aktiv und veröffentlichen weiterhin bösartige Pakete im Bereich der Softwarelieferkette“, sagt er.
Durch die Veröffentlichung dieses Berichts hofft Harush, das Bewusstsein für die Entwicklung von Angreifern zu schärfen, die jetzt Gemeinschaften mit Open-Source-Hack-Tools aufbauen.
„Angreifer zählen darauf, dass die Opfer den Details nicht genug Aufmerksamkeit schenken“, fügt er hinzu. „Und ehrlich gesagt, selbst ich mit jahrelanger Erfahrung würde möglicherweise auf einige dieser Tricks hereinfallen, da sie mit bloßem Auge wie legitime Pakete erscheinen.“
Open Source, nicht auf Sicherheit ausgelegt
Harush weist darauf hin, dass das Open-Source-Ökosystem leider nicht auf Sicherheit ausgelegt ist.
„Während sich jeder anmelden und ein Open-Source-Paket veröffentlichen kann, gibt es keinen Überprüfungsprozess, um zu überprüfen, ob das Paket bösartigen Code enthält“, sagt er.
Eine kürzlich berichten von der Software-Sicherheitsfirma Snyk und der Linux Foundation enthüllten, dass etwa die Hälfte der Firmen über eine Open-Source-Software-Sicherheitsrichtlinie verfügen, um Entwickler bei der Verwendung von Komponenten und Frameworks anzuleiten.
Der Bericht stellte jedoch auch fest, dass diejenigen, die über solche Richtlinien verfügen, im Allgemeinen eine bessere Sicherheit aufweisen – Google ist es zur Verfügung stellen sein Prozess zum Überprüfen und Patchen von Software auf Sicherheitsprobleme, um Hackern den Weg zu versperren.
„Wir sehen, dass Angreifer davon profitieren, weil es supereinfach ist, bösartige Pakete zu veröffentlichen“, erklärt er. „Das Fehlen von Überprüfungsbefugnissen, um die Pakete so zu tarnen, dass sie mit gestohlenen Bildern, ähnlichen Namen oder sogar auf die Websites anderer legitimer Git-Projekte verweisen, nur um zu sehen, dass sie die Sterne der anderen Projekte auf ihren Seiten mit bösartigen Paketen erhalten.“
Auf dem Weg zu Angriffen auf die Lieferkette?
Aus Harushs Sicht erreichen wir den Punkt, an dem Angreifer das volle Potenzial der Angriffsfläche der Open-Source-Lieferkette ausschöpfen.
„Ich gehe davon aus, dass sich Angriffe auf Open-Source-Lieferketten weiter zu Angreifern entwickeln werden, die darauf abzielen, nicht nur die Kreditkarte des Opfers zu stehlen, sondern auch die Arbeitsplatzdaten des Opfers, wie z ," er sagt.
Dazu gehört die Möglichkeit, auf die privaten Code-Repositories eines Arbeitsplatzes zuzugreifen, mit der Möglichkeit, Code beizutragen, während man sich als Opfer ausgibt, Hintertüren in Unternehmenssoftware einzubauen und vieles mehr.
„Organisationen können sich selbst schützen, indem sie ihre Entwickler mit Zwei-Faktor-Authentifizierung richtig durchsetzen, ihre Softwareentwickler aufklären, beliebte Open-Source-Pakete nicht für sicher zu halten, wenn sie viele Downloads oder Sterne zu haben scheinen“, fügt Harush hinzu, „und wachsam bis misstrauisch zu sein Aktivitäten in Softwarepaketen.“
