LofyGang-uhkaryhmä käyttää yli 200 haitallista NPM-pakettia tuhansilla asennuksilla varastaakseen luottokorttitietoja sekä peli- ja suoratoistotilejä, ennen kuin levittää varastettuja tunnistetietoja ja ryöstää maanalaisilla hakkerointifoorumeilla.
Checkmarxin raportin mukaan kyberhyökkäysryhmä on toiminut vuodesta 2020 lähtien ja tartuttanut avoimen lähdekoodin toimitusketjuja haitallisia paketteja yrittääkseen aseistaa ohjelmistosovelluksia.
Tutkimusryhmä uskoo, että ryhmällä voi olla brasilialaista alkuperää, koska se käyttää brasilian portugalia ja tiedostoa nimeltä "brazil.js". joka sisälsi haittaohjelmia, jotka löytyivät parista heidän haitallisista paketeistaan.
Raportissa käsitellään myös ryhmän taktiikkaa vuotaa tuhansia Disney+- ja Minecraft-tilejä maanalaiseen hakkerointiyhteisöön käyttämällä aliasta DyPolarLofy ja mainostaa hakkerointityökalujaan GitHubin kautta.
"Näimme useita haitallisten hyötykuormien luokkia, yleisiä salasanojen varastajia ja Discord-spesifisiä pysyviä haittaohjelmia; osa oli upotettu paketin sisään ja osa latasi haitallisen hyötykuorman ajon aikana C2-palvelimista. Perjantain raportti huomioitu.
LofyGang toimii rankaisematta
Ryhmä on ottanut käyttöön taktiikoita, kuten kirjoitusvirheitä, jotka kohdistuvat avoimen lähdekoodin toimitusketjun kirjoitusvirheisiin, sekä "StarJacking", jolloin paketin GitHub-repon URL-osoite linkitetään asiaankuulumattomaan lailliseen GitHub-projektiin.
"Paketin ylläpitäjät eivät vahvista tämän viittauksen paikkansapitävyyttä, ja näemme hyökkääjien hyödyntävän sitä sanomalla, että heidän pakettinsa Git-varasto on laillinen ja suosittu, mikä voi huijata uhrin ajattelemaan, että tämä on laillinen paketti sen ns. suosio", raportti totesi.
Avoimen lähdekoodin ohjelmistojen yleisyys ja menestys on tehnyt siitä kypsän kohteen haitallisille toimijoille, kuten LofyGang, selittää Jossef Harush, Checkmarxin toimitusketjun turvallisuussuunnitteluryhmän johtaja.
Hän näkee LofyGangin tärkeimpinä ominaisuuksina muun muassa sen kyvyn rakentaa suuri hakkeriyhteisö, käyttää laillisia palveluja komento- ja ohjauspalvelimina (C2) ja sen pyrkimykset myrkyttää avoimen lähdekoodin ekosysteemi.
Tämä toiminta jatkuu jopa kolmen eri raportin jälkeen - alkaen Sonatyyppi, suojattu listaja jFrog - paljasti LofyGangin ilkeät yritykset.
"He pysyvät aktiivisina ja julkaisevat edelleen haittapaketteja ohjelmistojen toimitusketjun areenalla", hän sanoo.
Julkaisemalla tämän raportin Harush toivoo lisäävänsä tietoisuutta hyökkääjien kehityksestä, jotka nyt rakentavat yhteisöjä avoimen lähdekoodin hakkerointityökaluilla.
"Hyökkääjät luottavat siihen, että uhrit eivät kiinnitä tarpeeksi huomiota yksityiskohtiin", hän lisää. "Ja rehellisesti sanottuna, jopa minä, jolla on vuosien kokemus, mahdollisesti ihastuisin joihinkin noihin temppuihin, koska ne näyttävät laillisilta paketeilta paljaalla silmällä."
Avoin lähdekoodi ei ole rakennettu tietoturvaa varten
Harush huomauttaa, että valitettavasti avoimen lähdekoodin ekosysteemiä ei rakennettu turvallisuuden vuoksi.
"Vaikka kuka tahansa voi rekisteröityä ja julkaista avoimen lähdekoodin paketin, ei ole olemassa tarkistusprosessia sen tarkistamiseksi, sisältääkö paketti haitallista koodia", hän sanoo.
Viime raportti Ohjelmistoturvayhtiö Snyk ja Linux Foundation paljastivat, että noin puolella yrityksistä on käytössä avoimen lähdekoodin ohjelmistojen tietoturvapolitiikka, joka ohjaa kehittäjiä komponenttien ja kehysten käytössä.
Raportissa todettiin kuitenkin myös, että ne, joilla on tällaisia käytäntöjä, ovat yleensä parempaa turvallisuutta – Google on saataville asettaminen sen prosessi tarkistaa ja korjata ohjelmistoja tietoturvaongelmien varalta auttaakseen sulkemaan väyliä hakkereilta.
"Näemme hyökkääjien hyödyntävän tätä, koska haitallisten pakettien julkaiseminen on erittäin helppoa", hän selittää. "Tarkistusvaltuuksien puute naamioida paketit näyttämään laillisilta varastetuilla kuvilla, samankaltaisilla nimillä tai jopa viitata muiden laillisten Git-projektien verkkosivustoihin vain nähdäkseen, että he saavat muiden projektien tähtiä haitallisten pakettien sivuilleen."
Oletko menossa kohti toimitusketjun hyökkäyksiä?
Harushin näkökulmasta olemme saavuttamassa pisteen, jossa hyökkääjät ymmärtävät avoimen lähdekoodin toimitusketjun hyökkäyspinnan täyden potentiaalin.
"Odotan avoimen lähdekoodin toimitusketjuhyökkäysten kehittyvän edelleen hyökkääjiksi, jotka pyrkivät varastamaan uhrin luottokortin lisäksi myös uhrin työpaikan tunnistetiedot, kuten GitHub-tilin, ja tähtäävät sieltä ohjelmistojen toimitusketjuhyökkäysten suurempiin jättipotteihin. ," hän sanoo.
Tämä sisältäisi mahdollisuuden käyttää työpaikan yksityisiä koodivarastoja, antaa koodia samalla kun esiintyy uhria, takaovia yritystason ohjelmistoihin ja paljon muuta.
"Organisaatiot voivat suojautua antamalla kehittäjilleen asianmukaisesti kaksivaiheisen todennuksen, kouluttaa ohjelmistokehittäjiään olemaan olettamatta suosittujen avoimen lähdekoodin pakettien olevan turvallisia, jos niillä näyttää olevan paljon latauksia tai tähtiä", Harush lisää, "ja olemaan valppaina epäilyttävien suhteen. ohjelmistopakettien toimintaa."
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
