Le groupe de menaces LofyGang utilise plus de 200 packages NPM malveillants avec des milliers d'installations pour voler des données de cartes de crédit et des comptes de jeux et de streaming, avant de diffuser les informations d'identification volées et le butin dans des forums de piratage clandestins.
Selon un rapport de Checkmarx, le groupe de cyberattaques est opérationnel depuis 2020, infectant les chaînes d'approvisionnement open source avec paquets malveillants dans le but de militariser les applications logicielles.
L'équipe de recherche pense que le groupe pourrait avoir des origines brésiliennes, en raison de l'utilisation du portugais brésilien et d'un fichier appelé « brazil.js ». qui contenait des logiciels malveillants trouvés dans quelques-uns de leurs packages malveillants.
Le rapport détaille également la tactique du groupe consistant à divulguer des milliers de comptes Disney+ et Minecraft à une communauté de piratage clandestine en utilisant l'alias DyPolarLofy et en faisant la promotion de leurs outils de piratage via GitHub.
« Nous avons vu plusieurs classes de charges utiles malveillantes, de voleurs de mots de passe généraux et de logiciels malveillants persistants spécifiques à Discord ; certains étaient intégrés dans le package, et certains téléchargent la charge utile malveillante pendant l'exécution à partir des serveurs C2 », le rapport du vendredi c'est noté.
LofyGang opère en toute impunité
Le groupe a déployé des tactiques telles que le typosquatting, qui cible les erreurs de frappe dans la chaîne d'approvisionnement open source, ainsi que le « StarJacking », selon lequel l'URL du dépôt GitHub du package est liée à un projet GitHub légitime sans rapport.
« Les gestionnaires de paquets ne valident pas l'exactitude de cette référence, et nous voyons des attaquants en profiter en déclarant que le référentiel Git de leur paquet est légitime et populaire, ce qui peut tromper la victime en lui faisant croire qu'il s'agit d'un paquet légitime en raison de ce que l'on appelle popularité », indique le rapport.
L'omniprésence et le succès des logiciels open source en ont fait une cible idéale pour les acteurs malveillants comme LofyGang, explique Jossef Harush, responsable du groupe d'ingénierie de sécurité de la chaîne d'approvisionnement de Checkmarx.
Il considère que les principales caractéristiques de LofyGang incluent sa capacité à créer une vaste communauté de hackers, à abuser de services légitimes tels que les serveurs de commande et de contrôle (C2), et ses efforts pour empoisonner l'écosystème open source.
Cette activité se poursuit même après trois rapports différents — de Sonatype, Liste sécuriséeet jFrog – a découvert les efforts malveillants de LofyGang.
« Ils restent actifs et continuent de publier des packages malveillants dans le domaine de la chaîne d'approvisionnement en logiciels », dit-il.
En publiant ce rapport, Harush dit espérer faire prendre conscience de l'évolution des attaquants, qui construisent désormais des communautés avec des outils de piratage open source.
« Les attaquants comptent sur les victimes pour ne pas prêter suffisamment attention aux détails », ajoute-t-il. "Et honnêtement, même moi, avec des années d'expérience, je pourrais potentiellement tomber dans le piège de certaines de ces astuces car elles semblent être des packages légitimes à l'œil nu."
L'Open Source n'est pas conçu pour la sécurité
Harush souligne que malheureusement, l'écosystème open source n'a pas été conçu pour la sécurité.
"Bien que n'importe qui puisse s'inscrire et publier un package open source, aucun processus de vérification n'est en place pour vérifier si le package contient du code malveillant", explique-t-il.
Une rapport de la société de sécurité logicielle Snyk et de la Linux Foundation ont révélé qu'environ la moitié des entreprises avaient mis en place une politique de sécurité des logiciels open source pour guider les développeurs dans l'utilisation des composants et des frameworks.
Cependant, le rapport révèle également que ceux qui ont mis en place de telles politiques présentent généralement une meilleure sécurité – Google est mise à disposition son processus de vérification et de mise à jour des logiciels pour les problèmes de sécurité afin d'aider à fermer les portes aux pirates.
« Nous constatons que les attaquants en profitent car il est très simple de publier des packages malveillants », explique-t-il. "Le manque de pouvoirs de contrôle pour dissimuler les packages pour qu'ils paraissent légitimes avec des images volées, des noms similaires, ou même en faisant référence aux sites Web d'autres projets Git légitimes juste pour voir qu'ils obtiennent le nombre d'étoiles des autres projets sur leurs pages de packages malveillants."
Vers des attaques contre la chaîne d’approvisionnement ?
Du point de vue de Harush, nous arrivons au point où les attaquants réalisent tout le potentiel de la surface d'attaque de la chaîne d'approvisionnement open source.
« Je m'attends à ce que les attaques open source sur la chaîne d'approvisionnement évoluent vers des attaquants visant à voler non seulement la carte de crédit de la victime, mais également les informations d'identification de son lieu de travail, comme un compte GitHub, et à partir de là, à viser les plus gros jackpots des attaques sur la chaîne d'approvisionnement logicielle. ," il dit.
Cela inclurait la possibilité d'accéder aux référentiels de codes privés d'un lieu de travail, avec la possibilité de contribuer au code tout en se faisant passer pour la victime, d'implanter des portes dérobées dans les logiciels d'entreprise, et bien plus encore.
« Les organisations peuvent se protéger en appliquant correctement à leurs développeurs une authentification à deux facteurs, en éduquant leurs développeurs de logiciels à ne pas présumer que les packages open source populaires sont sûrs s'ils semblent avoir de nombreux téléchargements ou des étoiles », ajoute Harush, « et en étant vigilants face aux activités dans les progiciels.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
