El grupo de amenazas LofyGang está utilizando más de 200 paquetes NPM maliciosos con miles de instalaciones para robar datos de tarjetas de crédito y cuentas de juegos y transmisión, antes de difundir credenciales robadas y botines en foros clandestinos de piratería.
Según un informe de Checkmarx, el grupo de ciberataques ha estado en funcionamiento desde 2020, infectando las cadenas de suministro de código abierto con paquetes maliciosos en un esfuerzo por armar las aplicaciones de software.
El equipo de investigación cree que el grupo puede tener orígenes brasileños, debido al uso del portugués brasileño y un archivo llamado "brazil.js". que contenía malware encontrado en un par de sus paquetes maliciosos.
El informe también detalla la táctica del grupo de filtrar miles de cuentas de Disney+ y Minecraft a una comunidad clandestina de piratería utilizando el alias DyPolarLofy y promocionando sus herramientas de piratería a través de GitHub.
“Vimos varias clases de cargas útiles maliciosas, ladrones de contraseñas generales y malware persistente específico de Discord; algunos estaban incrustados dentro del paquete y otros descargaron la carga maliciosa durante el tiempo de ejecución de los servidores C2. informe del viernes célebre.
LofyGang opera con impunidad
El grupo ha implementado tácticas que incluyen typosquatting, que apunta a errores de escritura en la cadena de suministro de código abierto, así como "StarJacking", mediante el cual la URL del repositorio de GitHub del paquete se vincula a un proyecto de GitHub legítimo no relacionado.
“Los administradores de paquetes no validan la precisión de esta referencia, y vemos que los atacantes se aprovechan de eso al afirmar que el repositorio Git de su paquete es legítimo y popular, lo que puede engañar a la víctima para que piense que se trata de un paquete legítimo debido a su supuesto popularidad”, decía el informe.
La ubicuidad y el éxito del software de código abierto lo han convertido en un objetivo perfecto para actores maliciosos como LofyGang, explica Jossef Harush, director del grupo de ingeniería de seguridad de la cadena de suministro de Checkmarx.
Él ve que las características clave de LofyGang incluyen su capacidad para construir una gran comunidad de piratas informáticos, abusar de los servicios legítimos como servidores de comando y control (C2) y sus esfuerzos para envenenar el ecosistema de código abierto.
Esta actividad continúa incluso después de tres informes diferentes, de Sonatipo, Lista de seguridady jRana — descubrió los esfuerzos maliciosos de LofyGang.
“Permanecen activos y continúan publicando paquetes maliciosos en el ámbito de la cadena de suministro de software”, dice.
Al publicar este informe, Harush dice que espera generar conciencia sobre la evolución de los atacantes, que ahora están construyendo comunidades con herramientas de pirateo de código abierto.
“Los atacantes cuentan con que las víctimas no presten suficiente atención a los detalles”, añade. “Y honestamente, incluso yo, con años de experiencia, podría caer en algunos de esos trucos, ya que parecen paquetes legítimos a simple vista”.
Código abierto no creado para la seguridad
Harush señala que, lamentablemente, el ecosistema de código abierto no se creó para la seguridad.
“Si bien cualquiera puede registrarse y publicar un paquete de código abierto, no existe un proceso de investigación para verificar si el paquete contiene código malicioso”, dice.
Un reporte de la firma de seguridad de software Snyk y Linux Foundation revelaron que aproximadamente la mitad de las empresas tienen una política de seguridad de software de código abierto para guiar a los desarrolladores en el uso de componentes y marcos.
Sin embargo, el informe también encontró que aquellos que tienen dichas políticas generalmente exhiben una mejor seguridad: Google es haciendo disponible su proceso de investigación y parcheo de software para problemas de seguridad para ayudar a cerrar caminos a los piratas informáticos.
“Vemos que los atacantes se aprovechan de esto porque es muy fácil publicar paquetes maliciosos”, explica. "La falta de poderes de investigación para disfrazar los paquetes para que parezcan legítimos con imágenes robadas, nombres similares, o incluso hacer referencia a otros sitios web legítimos de proyectos Git solo para ver que obtienen la cantidad de estrellas de los otros proyectos en sus páginas de paquetes maliciosos".
¿Hacia ataques a la cadena de suministro?
Desde la perspectiva de Harush, estamos llegando al punto en que los atacantes se dan cuenta de todo el potencial de la superficie de ataque de la cadena de suministro de código abierto.
“Espero que los ataques de la cadena de suministro de código abierto evolucionen aún más y se conviertan en atacantes con el objetivo de robar no solo la tarjeta de crédito de la víctima, sino también las credenciales del lugar de trabajo de la víctima, como una cuenta de GitHub, y desde allí, apuntar a los premios mayores de los ataques de la cadena de suministro de software. ," él dice.
Esto incluiría la capacidad de acceder a los repositorios de códigos privados de un lugar de trabajo, con la capacidad de contribuir con código mientras se hace pasar por la víctima, plantar puertas traseras en software de nivel empresarial y más.
“Las organizaciones pueden protegerse haciendo cumplir adecuadamente a sus desarrolladores con la autenticación de dos factores, educando a sus desarrolladores de software para que no asuman que los paquetes populares de código abierto son seguros si parecen tener muchas descargas o estrellas”, agrega Harush, “y estar atentos a los sospechosos”. actividades en paquetes de software”.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
