LofyGang از 100 بسته NPM مخرب برای مسموم کردن نرم افزار منبع باز استفاده می کند

گروه تهدید LofyGang از بیش از 200 بسته NPM مخرب با هزاران نصب برای سرقت داده‌های کارت اعتباری و حساب‌های بازی و جریان استفاده می‌کند، قبل از اینکه اعتبار سرقت شده و غارت را در انجمن‌های هک زیرزمینی منتشر کند.

بر اساس گزارشی از چکمارکس، گروه حمله سایبری از سال 2020 فعال بوده و زنجیره های تامین منبع باز را آلوده کرده است. بسته های مخرب در تلاش برای مسلح کردن برنامه های نرم افزاری.

تیم تحقیقاتی به دلیل استفاده از زبان پرتغالی برزیل و فایلی به نام "brazil.js" معتقد است که این گروه ممکن است ریشه برزیلی داشته باشد. که حاوی بدافزار یافت شده در چند بسته مخرب آنها بود.

این گزارش همچنین جزئیات تاکتیک این گروه را برای افشای هزاران حساب Disney+ و Minecraft به یک جامعه هک زیرزمینی با استفاده از نام مستعار DyPolarLofy و تبلیغ ابزارهای هک خود از طریق GitHub ارائه می‌کند.

ما چندین کلاس از محموله های مخرب، دزدهای رمز عبور عمومی و بدافزارهای دائمی خاص Discord را دیدیم. برخی در داخل بسته تعبیه شده بودند، و برخی از آنها بار مخرب را در طول زمان اجرا از سرورهای C2 دانلود کردند. گزارش جمعه اشاره شد.

LofyGang بدون مجازات عمل می کند

این گروه تاکتیک هایی از جمله typosquatting را به کار گرفته است که اشتباهات تایپی را در زنجیره تامین منبع باز هدف قرار می دهد و همچنین "StarJacking" را که به موجب آن URL مخزن GitHub بسته به یک پروژه GitHub قانونی نامربوط مرتبط می شود.

«مدیران بسته صحت این مرجع را تأیید نمی‌کنند، و ما می‌بینیم که مهاجمان با بیان مشروع و محبوب بودن مخزن Git بسته‌شان از آن سوء استفاده می‌کنند، که ممکن است قربانی را فریب دهد تا فکر کند این یک بسته قانونی است به دلیل اصطلاحاً آن. محبوبیت،» در این گزارش آمده است.

جوزف هاروش، رئیس گروه مهندسی امنیت زنجیره تامین چکمارکس، توضیح می دهد که همه جا و موفقیت نرم افزار منبع باز آن را به هدفی بالغ برای بازیگران مخربی مانند LofyGang تبدیل کرده است.

او ویژگی های کلیدی LofyGang را شامل توانایی آن برای ایجاد یک جامعه هکر بزرگ، سوء استفاده از خدمات قانونی به عنوان سرورهای فرمان و کنترل (C2) و تلاش های آن در مسموم کردن اکوسیستم منبع باز می داند.

این فعالیت حتی پس از سه گزارش مختلف - از سوناتایپ, امنیت گراو jFrog - تلاش های مخرب LofyGang را کشف کرد.

او می گوید: «آنها همچنان فعال هستند و به انتشار بسته های مخرب در عرصه زنجیره تأمین نرم افزار ادامه می دهند.

با انتشار این گزارش، هاروش می‌گوید امیدوار است که آگاهی را در مورد تکامل مهاجمانی که اکنون در حال ایجاد جوامع با ابزارهای هک منبع باز هستند، افزایش دهد.

او می افزاید: «حمله کنندگان روی قربانیان حساب می کنند تا به جزئیات توجه کافی نداشته باشند. "و صادقانه بگویم، حتی من، با سالها تجربه، به طور بالقوه درگیر برخی از این ترفندها هستم، زیرا آنها به چشم غیر مسلح مانند بسته های قانونی به نظر می رسند."

منبع باز برای امنیت ساخته نشده است

هاروش اشاره می کند که متأسفانه اکوسیستم منبع باز برای امنیت ساخته نشده است.

او می‌گوید: «در حالی که هر کسی می‌تواند یک بسته منبع باز ثبت‌نام کرده و منتشر کند، هیچ فرآیند بررسی برای بررسی اینکه آیا بسته حاوی کد مخرب است یا خیر، وجود ندارد.

اخیر گزارش از سوی شرکت امنیت نرم‌افزاری Snyk و بنیاد لینوکس فاش کردند که حدود نیمی از شرکت‌ها یک سیاست امنیتی نرم‌افزار منبع باز دارند تا توسعه‌دهندگان را در استفاده از کامپوننت‌ها و چارچوب‌ها راهنمایی کند.

با این حال، این گزارش همچنین نشان داد که کسانی که چنین سیاست‌هایی را اعمال می‌کنند، عموماً امنیت بهتری از خود نشان می‌دهند - گوگل چنین است در دسترس قرار دادن فرآیند بررسی و اصلاح نرم افزار برای مسائل امنیتی برای کمک به بستن راه ها به روی هکرها.

او توضیح می دهد: «ما می بینیم که مهاجمان از این سوء استفاده می کنند زیرا انتشار بسته های مخرب بسیار آسان است. «فقدان قدرت بررسی در مبدل کردن بسته‌ها برای قانونی به نظر رسیدن با تصاویر دزدیده شده، نام‌های مشابه، یا حتی ارجاع به وب‌سایت‌های دیگر پروژه‌های Git قانونی فقط برای دیدن اینکه آنها مقدار ستاره پروژه‌های دیگر را در صفحات بسته‌های مخرب خود دریافت می‌کنند.»

به سمت حملات زنجیره تامین می روید؟

از دیدگاه هاروش، ما به نقطه ای می رسیم که مهاجمان به پتانسیل کامل سطح حمله زنجیره تامین منبع باز پی می برند.

من انتظار دارم حملات زنجیره تامین منبع باز بیشتر به مهاجمانی تبدیل شوند که هدفشان سرقت نه تنها کارت اعتباری قربانی، بلکه اعتبارات محل کار قربانی، مانند حساب GitHub است و از آنجا، جکپات های بزرگتر حملات زنجیره تامین نرم افزار را هدف قرار دهد. او می گوید.

این شامل توانایی دسترسی به مخازن کد خصوصی یک محل کار، با قابلیت کمک به کد در حالی که جعل هویت قربانی، کاشت درهای پشتی در نرم افزار درجه سازمانی و غیره است.

هاروش می‌افزاید: «سازمان‌ها می‌توانند با اجرای درست توسعه‌دهندگان خود با احراز هویت دو مرحله‌ای از خود محافظت کنند، به توسعه‌دهندگان نرم‌افزار خود آموزش دهند که بسته‌های منبع باز محبوب را در صورتی که به نظر می‌رسد دانلودها یا ستاره‌های زیادی دارند، ایمن نباشند، و مراقب باشند تا مشکوک شوند. فعالیت در بسته های نرم افزاری.