Το LofyGang χρησιμοποιεί 100 κακόβουλα πακέτα NPM για να δηλητηριάσει λογισμικό ανοιχτού κώδικα

Η ομάδα απειλών LofyGang χρησιμοποιεί περισσότερα από 200 κακόβουλα πακέτα NPM με χιλιάδες εγκαταστάσεις για να κλέψει δεδομένα πιστωτικών καρτών και λογαριασμούς παιχνιδιών και ροής, πριν διαδώσει κλεμμένα διαπιστευτήρια και λάφυρα σε υπόγεια φόρουμ hacking.

Σύμφωνα με μια αναφορά από το Checkmarx, η ομάδα κυβερνοεπιθέσεων λειτουργεί από το 2020, μολύνοντας τις αλυσίδες εφοδιασμού ανοιχτού κώδικα με κακόβουλα πακέτα σε μια προσπάθεια να οπλίσει τις εφαρμογές λογισμικού.

Η ερευνητική ομάδα πιστεύει ότι η ομάδα μπορεί να έχει βραζιλιάνικη καταγωγή, λόγω της χρήσης των βραζιλιάνικων πορτογαλικών και ενός αρχείου που ονομάζεται "brazil.js". το οποίο περιείχε κακόβουλο λογισμικό που βρέθηκε σε μερικά από τα κακόβουλα πακέτα τους.

Η αναφορά περιγράφει επίσης την τακτική της ομάδας να διαρρέει χιλιάδες λογαριασμούς Disney+ και Minecraft σε μια υπόγεια κοινότητα hacking χρησιμοποιώντας το ψευδώνυμο DyPolarLofy και προωθώντας τα εργαλεία hacking μέσω του GitHub.

«Είδαμε πολλές κατηγορίες κακόβουλων ωφέλιμων φορτίων, γενικούς κλοπές κωδικών πρόσβασης και μόνιμο κακόβουλο λογισμικό για το Discord. μερικά ήταν ενσωματωμένα μέσα στο πακέτο και μερικά κατέβασαν το κακόβουλο ωφέλιμο φορτίο κατά τη διάρκεια του χρόνου εκτέλεσης από διακομιστές C2. Έκθεση Παρασκευής φημισμένος.

Το LofyGang λειτουργεί ατιμώρητα

Η ομάδα έχει αναπτύξει τακτικές συμπεριλαμβανομένου του typosquatting, το οποίο στοχεύει τα λάθη πληκτρολόγησης στην αλυσίδα εφοδιασμού ανοιχτού κώδικα, καθώς και το «StarJacking», όπου η διεύθυνση URL αποθέματος GitHub του πακέτου συνδέεται με ένα άσχετο νόμιμο έργο GitHub.

«Οι διαχειριστές πακέτων δεν επικυρώνουν την ακρίβεια αυτής της αναφοράς και βλέπουμε τους εισβολείς να το εκμεταλλεύονται δηλώνοντας ότι το αποθετήριο Git του πακέτου τους είναι νόμιμο και δημοφιλές, κάτι που μπορεί να ξεγελάσει το θύμα ώστε να πιστεύει ότι αυτό είναι ένα νόμιμο πακέτο λόγω του λεγόμενου δημοτικότητα», ανέφερε η έκθεση.

Η πανταχού παρουσία και η επιτυχία του λογισμικού ανοιχτού κώδικα το έχει καταστήσει ώριμο στόχο για κακόβουλους παράγοντες όπως ο LofyGang, εξηγεί ο Jossef Harush, επικεφαλής της ομάδας μηχανικών ασφάλειας εφοδιαστικής αλυσίδας της Checkmarx.

Θεωρεί ότι τα βασικά χαρακτηριστικά του LofyGang περιλαμβάνουν την ικανότητά του να δημιουργεί μια μεγάλη κοινότητα χάκερ, την κατάχρηση νόμιμων υπηρεσιών ως διακομιστών εντολής και ελέγχου (C2) και τις προσπάθειές του να δηλητηριάσει το οικοσύστημα ανοιχτού κώδικα.

Αυτή η δραστηριότητα συνεχίζεται ακόμη και μετά από τρεις διαφορετικές αναφορές — από Sonatype, ασφαλής λίστα, να jFrog — αποκάλυψε τις κακόβουλες προσπάθειες του LofyGang.

«Παραμένουν ενεργοί και συνεχίζουν να δημοσιεύουν κακόβουλα πακέτα στην αρένα της αλυσίδας εφοδιασμού λογισμικού», λέει.

Δημοσιεύοντας αυτήν την αναφορά, ο Harush λέει ότι ελπίζει να αυξήσει την ευαισθητοποίηση για την εξέλιξη των επιτιθέμενων, οι οποίοι τώρα χτίζουν κοινότητες με εργαλεία χάκερ ανοιχτού κώδικα.

«Οι επιτιθέμενοι βασίζονται στα θύματα ότι δεν δίνουν αρκετή προσοχή στις λεπτομέρειες», προσθέτει. «Και ειλικρινά, ακόμη κι εγώ, με χρόνια εμπειρίας, δυνητικά θα έπεφτα σε μερικά από αυτά τα κόλπα, καθώς φαίνονται σαν νόμιμα πακέτα με γυμνό μάτι».

Ανοιχτός κώδικας που δεν έχει δημιουργηθεί για ασφάλεια

Ο Harush επισημαίνει ότι δυστυχώς το οικοσύστημα ανοιχτού κώδικα δεν δημιουργήθηκε για ασφάλεια.

«Ενώ οποιοσδήποτε μπορεί να εγγραφεί και να δημοσιεύσει ένα πακέτο ανοιχτού κώδικα, δεν υπάρχει διαδικασία ελέγχου για να ελεγχθεί εάν το πακέτο περιέχει κακόβουλο κώδικα», λέει.

Μια πρόσφατη αναφέρουν από την εταιρεία ασφάλειας λογισμικού Snyk και το Ίδρυμα Linux αποκάλυψαν ότι περίπου οι μισές εταιρείες έχουν μια πολιτική ασφάλειας λογισμικού ανοιχτού κώδικα για να καθοδηγούν τους προγραμματιστές στη χρήση στοιχείων και πλαισίων.

Ωστόσο, η έκθεση διαπίστωσε επίσης ότι όσοι εφαρμόζουν τέτοιες πολιτικές γενικά παρουσιάζουν καλύτερη ασφάλεια — η Google είναι διάθεση η διαδικασία ελέγχου και επιδιόρθωσης λογισμικού για ζητήματα ασφάλειας, ώστε να κλείσουν οι δρόμοι στους χάκερ.

«Βλέπουμε τους επιτιθέμενους να το εκμεταλλεύονται αυτό γιατί είναι πολύ εύκολο να δημοσιεύσεις κακόβουλα πακέτα», εξηγεί. «Η έλλειψη εξουσιών ελέγχου στην απόκρυψη των πακέτων ώστε να φαίνονται νόμιμες με κλεμμένες εικόνες, παρόμοια ονόματα ή ακόμα και αναφορά σε άλλους νόμιμους ιστότοπους έργων Git για να δουν ότι παίρνουν το ποσό των αστεριών των άλλων έργων στις σελίδες των κακόβουλων πακέτων τους».

Οδεύετε προς επιθέσεις εφοδιαστικής αλυσίδας;

Από την οπτική γωνία του Harush, φτάνουμε στο σημείο όπου οι εισβολείς αντιλαμβάνονται το πλήρες δυναμικό της επιφάνειας επίθεσης της αλυσίδας εφοδιασμού ανοιχτού κώδικα.

«Περιμένω από τις επιθέσεις ανοικτού κώδικα αλυσίδας εφοδιασμού να εξελιχθούν περαιτέρω σε εισβολείς που στοχεύουν να κλέψουν όχι μόνο την πιστωτική κάρτα του θύματος, αλλά και τα διαπιστευτήρια του χώρου εργασίας του θύματος, όπως έναν λογαριασμό GitHub, και από εκεί, να στοχεύουν στα μεγαλύτερα τζάκποτ επιθέσεων στην αλυσίδα εφοδιασμού λογισμικού ," αυτος λεει.

Αυτό θα περιλάμβανε τη δυνατότητα πρόσβασης στα ιδιωτικά αποθετήρια κωδικών ενός χώρου εργασίας, με τη δυνατότητα να συνεισφέρετε κώδικα ενώ πλαστοπροσωπείτε το θύμα, να φυτεύετε κερκόπορτες σε λογισμικό εταιρικής ποιότητας και πολλά άλλα.

«Οι οργανισμοί μπορούν να προστατευτούν επιβάλλοντας σωστά τους προγραμματιστές τους με έλεγχο ταυτότητας δύο παραγόντων, να εκπαιδεύσουν τους προγραμματιστές λογισμικού τους να μην θεωρούν ότι τα δημοφιλή πακέτα ανοιχτού κώδικα είναι ασφαλή εάν φαίνεται να έχουν πολλές λήψεις ή αστέρια», προσθέτει ο Harush, «και να είναι προσεκτικοί σε υποψίες. δραστηριότητες σε πακέτα λογισμικού».