گروه تهدید LofyGang از بیش از 200 بسته NPM مخرب با هزاران نصب برای سرقت دادههای کارت اعتباری و حسابهای بازی و جریان استفاده میکند، قبل از اینکه اعتبار سرقت شده و غارت را در انجمنهای هک زیرزمینی منتشر کند.
بر اساس گزارشی از چکمارکس، گروه حمله سایبری از سال 2020 فعال بوده و زنجیره های تامین منبع باز را آلوده کرده است. بسته های مخرب در تلاش برای مسلح کردن برنامه های نرم افزاری.
تیم تحقیقاتی به دلیل استفاده از زبان پرتغالی برزیل و فایلی به نام "brazil.js" معتقد است که این گروه ممکن است ریشه برزیلی داشته باشد. که حاوی بدافزار یافت شده در چند بسته مخرب آنها بود.
این گزارش همچنین جزئیات تاکتیک این گروه را برای افشای هزاران حساب Disney+ و Minecraft به یک جامعه هک زیرزمینی با استفاده از نام مستعار DyPolarLofy و تبلیغ ابزارهای هک خود از طریق GitHub ارائه میکند.
ما چندین کلاس از محموله های مخرب، دزدهای رمز عبور عمومی و بدافزارهای دائمی خاص Discord را دیدیم. برخی در داخل بسته تعبیه شده بودند، و برخی از آنها بار مخرب را در طول زمان اجرا از سرورهای C2 دانلود کردند. گزارش جمعه اشاره شد.
LofyGang بدون مجازات عمل می کند
این گروه تاکتیک هایی از جمله typosquatting را به کار گرفته است که اشتباهات تایپی را در زنجیره تامین منبع باز هدف قرار می دهد و همچنین "StarJacking" را که به موجب آن URL مخزن GitHub بسته به یک پروژه GitHub قانونی نامربوط مرتبط می شود.
«مدیران بسته صحت این مرجع را تأیید نمیکنند، و ما میبینیم که مهاجمان با بیان مشروع و محبوب بودن مخزن Git بستهشان از آن سوء استفاده میکنند، که ممکن است قربانی را فریب دهد تا فکر کند این یک بسته قانونی است به دلیل اصطلاحاً آن. محبوبیت،» در این گزارش آمده است.
جوزف هاروش، رئیس گروه مهندسی امنیت زنجیره تامین چکمارکس، توضیح می دهد که همه جا و موفقیت نرم افزار منبع باز آن را به هدفی بالغ برای بازیگران مخربی مانند LofyGang تبدیل کرده است.
او ویژگی های کلیدی LofyGang را شامل توانایی آن برای ایجاد یک جامعه هکر بزرگ، سوء استفاده از خدمات قانونی به عنوان سرورهای فرمان و کنترل (C2) و تلاش های آن در مسموم کردن اکوسیستم منبع باز می داند.
این فعالیت حتی پس از سه گزارش مختلف - از سوناتایپ, امنیت گراو jFrog - تلاش های مخرب LofyGang را کشف کرد.
او می گوید: «آنها همچنان فعال هستند و به انتشار بسته های مخرب در عرصه زنجیره تأمین نرم افزار ادامه می دهند.
با انتشار این گزارش، هاروش میگوید امیدوار است که آگاهی را در مورد تکامل مهاجمانی که اکنون در حال ایجاد جوامع با ابزارهای هک منبع باز هستند، افزایش دهد.
او می افزاید: «حمله کنندگان روی قربانیان حساب می کنند تا به جزئیات توجه کافی نداشته باشند. "و صادقانه بگویم، حتی من، با سالها تجربه، به طور بالقوه درگیر برخی از این ترفندها هستم، زیرا آنها به چشم غیر مسلح مانند بسته های قانونی به نظر می رسند."
منبع باز برای امنیت ساخته نشده است
هاروش اشاره می کند که متأسفانه اکوسیستم منبع باز برای امنیت ساخته نشده است.
او میگوید: «در حالی که هر کسی میتواند یک بسته منبع باز ثبتنام کرده و منتشر کند، هیچ فرآیند بررسی برای بررسی اینکه آیا بسته حاوی کد مخرب است یا خیر، وجود ندارد.
اخیر گزارش از سوی شرکت امنیت نرمافزاری Snyk و بنیاد لینوکس فاش کردند که حدود نیمی از شرکتها یک سیاست امنیتی نرمافزار منبع باز دارند تا توسعهدهندگان را در استفاده از کامپوننتها و چارچوبها راهنمایی کند.
با این حال، این گزارش همچنین نشان داد که کسانی که چنین سیاستهایی را اعمال میکنند، عموماً امنیت بهتری از خود نشان میدهند - گوگل چنین است در دسترس قرار دادن فرآیند بررسی و اصلاح نرم افزار برای مسائل امنیتی برای کمک به بستن راه ها به روی هکرها.
او توضیح می دهد: «ما می بینیم که مهاجمان از این سوء استفاده می کنند زیرا انتشار بسته های مخرب بسیار آسان است. «فقدان قدرت بررسی در مبدل کردن بستهها برای قانونی به نظر رسیدن با تصاویر دزدیده شده، نامهای مشابه، یا حتی ارجاع به وبسایتهای دیگر پروژههای Git قانونی فقط برای دیدن اینکه آنها مقدار ستاره پروژههای دیگر را در صفحات بستههای مخرب خود دریافت میکنند.»
به سمت حملات زنجیره تامین می روید؟
از دیدگاه هاروش، ما به نقطه ای می رسیم که مهاجمان به پتانسیل کامل سطح حمله زنجیره تامین منبع باز پی می برند.
من انتظار دارم حملات زنجیره تامین منبع باز بیشتر به مهاجمانی تبدیل شوند که هدفشان سرقت نه تنها کارت اعتباری قربانی، بلکه اعتبارات محل کار قربانی، مانند حساب GitHub است و از آنجا، جکپات های بزرگتر حملات زنجیره تامین نرم افزار را هدف قرار دهد. او می گوید.
این شامل توانایی دسترسی به مخازن کد خصوصی یک محل کار، با قابلیت کمک به کد در حالی که جعل هویت قربانی، کاشت درهای پشتی در نرم افزار درجه سازمانی و غیره است.
هاروش میافزاید: «سازمانها میتوانند با اجرای درست توسعهدهندگان خود با احراز هویت دو مرحلهای از خود محافظت کنند، به توسعهدهندگان نرمافزار خود آموزش دهند که بستههای منبع باز محبوب را در صورتی که به نظر میرسد دانلودها یا ستارههای زیادی دارند، ایمن نباشند، و مراقب باشند تا مشکوک شوند. فعالیت در بسته های نرم افزاری.