Ohurühm LofyGang kasutab enam kui 200 tuhandete installidega pahatahtlikku NPM-paketti, et varastada krediitkaardiandmeid ning mängu- ja voogesituskontosid, enne kui levitab varastatud mandaate ja rüüstab maa-alustes häkkimisfoorumites.
Checkmarxi raporti kohaselt on küberrünnakute rühmitus tegutsenud alates 2020. aastast, nakatades avatud lähtekoodiga tarneahelaid pahatahtlikud paketid tarkvararakenduste relvastamiseks.
Uurimisrühm usub, et rühm võib olla Brasiilia päritolu, kuna kasutatakse Brasiilia portugali keelt ja faili nimega brazil.js. mis sisaldas paarist nende pahatahtlikust paketist leitud pahavara.
Aruandes kirjeldatakse ka üksikasjalikult grupi taktikat lekitada tuhandeid Disney+ ja Minecrafti kontosid maa-alusele häkkimiskogukonnale, kasutades varjunime DyPolarLofy ja reklaamida oma häkkimistööriistu GitHubi kaudu.
"Nägime mitut tüüpi pahatahtlikku laadi, üldisi paroolivarastajaid ja Discord-spetsiifilist püsivat pahavara; mõned olid manustatud paketti ja mõned laadisid käitusajal alla pahatahtliku kasuliku koormuse C2 serveritest. Reedene aruanne märkis.
LofyGang tegutseb karistamatult
Rühm on rakendanud taktikaid, sealhulgas trükivigu, mis sihivad avatud lähtekoodiga tarneahelas esinevaid trükkimisvigu, aga ka "StarJacking", mille puhul paketi GitHubi repo URL on seotud mitteseotud legitiimse GitHubi projektiga.
"Pakihaldurid ei kinnita selle viite täpsust ja me näeme, et ründajad kasutavad seda ära, väites, et nende paketi Git-hoidla on legitiimne ja populaarne, mis võib ohvrit meelitada arvama, et see on legitiimne pakett, kuna selle nn. populaarsust," seisis raportis.
Avatud lähtekoodiga tarkvara laialdane levik ja edu on muutnud selle küpseks sihtmärgiks pahatahtlikele osalejatele, nagu LofyGang, selgitab Checkmarxi tarneahela turbeinseneri rühma juht Jossef Harush.
Ta näeb LofyGangi põhiomadustena selle võimet luua suur häkkerite kogukond, kuritarvitada legitiimseid teenuseid käsu- ja juhtimisserveritena (C2) ning tema jõupingutusi avatud lähtekoodiga ökosüsteemi mürgitamisel.
See tegevus jätkub ka pärast kolme erinevat aruannet — alates Sonatüüp, Securelistja jFrog - paljastas LofyGangi pahatahtlikud jõupingutused.
"Nad jäävad aktiivseks ja jätkavad pahatahtlike pakettide avaldamist tarkvara tarneahela areenil, " ütleb ta.
Selle aruande avaldamisega loodab Harush tõsta teadlikkust ründajate arengust, kes loovad nüüd avatud lähtekoodiga häkkimistööriistadega kogukondi.
"Ründajad loodavad, et ohvrid ei pööra piisavalt tähelepanu detailidele," lisab ta. "Ja ausalt öeldes, isegi mina, kellel on aastatepikkune kogemus, langeksin mõnele sellisele trikile, kuna need tunduvad palja silmaga seaduslikud pakendid."
Avatud lähtekoodiga pole loodud turvalisust
Harush juhib tähelepanu, et kahjuks ei ehitatud avatud lähtekoodiga ökosüsteemi turvalisuse huvides.
"Kuigi igaüks saab registreeruda ja avaldada avatud lähtekoodiga paketi, ei toimu kontrollimisprotsessi, et kontrollida, kas pakett sisaldab pahatahtlikku koodi," ütleb ta.
Viimastel aru Tarkvaraturbefirma Snyk ja Linuxi sihtasutus näitasid, et umbes pooltel ettevõtetel on avatud lähtekoodiga tarkvara turbepoliitika, mis juhendab arendajaid komponentide ja raamistike kasutamisel.
Aruandes leiti aga ka, et need, kellel on sellised eeskirjad, on üldiselt parema turvalisusega – Google seda teeb kättesaadavaks tegemine selle tarkvara kontrollimise ja parandamise protsess turvaprobleemide jaoks, et aidata häkkeritele võimalusi sulgeda.
"Näeme, et ründajad kasutavad seda ära, sest pahatahtlikke pakette on ülilihtne avaldada," selgitab ta. "Kontrollimisvolituste puudumine, et varjata pakette nii, et need paistaksid seaduslikena varastatud piltide või sarnaste nimedega või isegi viidates teiste seaduslike Giti projektide veebisaitidele, et näha, kuidas nad saavad oma pahatahtlike pakettide lehtedele teiste projektide tähte."
Kas liigute tarneahela rünnakute poole?
Harushi vaatenurgast oleme jõudmas punkti, kus ründajad mõistavad avatud lähtekoodiga tarneahela rünnakupinna kogu potentsiaali.
"Ma eeldan, et avatud lähtekoodiga tarneahela rünnakud arenevad veelgi ründajateks, mille eesmärk on varastada mitte ainult ohvri krediitkaarti, vaid ka ohvri töökoha mandaate, näiteks GitHubi kontot, ja sealt edasi püüda tarkvara tarneahela rünnakute suuremaid jackpotte. ," ta ütleb.
See hõlmaks võimalust pääseda juurde töökoha privaatsetele koodihoidlatele koos võimalusega ohvrina esinedes koodi sisestada, ettevõttetaseme tarkvarasse tagaukse loomist ja palju muud.
"Organisatsioonid saavad end kaitsta, rakendades oma arendajaid kahefaktorilise autentimisega, harida oma tarkvaraarendajaid mitte eeldama, et populaarsed avatud lähtekoodiga paketid on turvalised, kui neil näib olevat palju allalaaditavaid faile või tähte," lisab Harush, "ja olla valvsad kahtluste suhtes. tegevusi tarkvarapakettides.
