भूमिगत हैकिंग फ़ोरम में चोरी किए गए क्रेडेंशियल और लूट को फैलाने से पहले, LofyGang खतरा समूह क्रेडिट कार्ड डेटा, और गेमिंग और स्ट्रीमिंग खातों को चुराने के लिए हजारों इंस्टॉलेशन के साथ 200 से अधिक दुर्भावनापूर्ण NPM पैकेज का उपयोग कर रहा है।
Checkmarx की एक रिपोर्ट के अनुसार, साइबर हमले समूह 2020 से काम कर रहा है, जिससे ओपन सोर्स सप्लाई चेन को संक्रमित किया जा रहा है। दुर्भावनापूर्ण पैकेज सॉफ्टवेयर अनुप्रयोगों को हथियार बनाने के प्रयास में।
शोध दल का मानना है कि ब्राज़ीलियाई पुर्तगाली और "brazil.js" नामक फ़ाइल के उपयोग के कारण समूह का मूल ब्राज़ीलियाई हो सकता है। जिसमें उनके कुछ दुर्भावनापूर्ण पैकेजों में पाया गया मैलवेयर था।
रिपोर्ट में समूह के हजारों डिज़्नी+ और माइनक्राफ्ट खातों को एक भूमिगत हैकिंग समुदाय में लीक करने की रणनीति का भी विवरण दिया गया है, जो उर्फ डायपोलरलोफी का उपयोग कर रहा है और गिटहब के माध्यम से अपने हैकिंग टूल को बढ़ावा दे रहा है।
"हमने दुर्भावनापूर्ण पेलोड, सामान्य पासवर्ड चोरी करने वालों और डिस्कॉर्ड-विशिष्ट लगातार मैलवेयर के कई वर्ग देखे; कुछ पैकेज के अंदर एम्बेड किए गए थे, और कुछ ने C2 सर्वर से रनटाइम के दौरान दुर्भावनापूर्ण पेलोड को डाउनलोड किया था," शुक्रवार की रिपोर्ट का उल्लेख किया।
LofyGang दण्ड से मुक्ति के साथ काम करता है
समूह ने टाइपोसक्वेटिंग सहित रणनीति को तैनात किया है, जो ओपन सोर्स सप्लाई चेन में टाइपिंग गलतियों को लक्षित करता है, साथ ही साथ "स्टारजैकिंग", जिससे पैकेज का गिटहब रेपो यूआरएल एक असंबंधित वैध गिटहब प्रोजेक्ट से जुड़ा हुआ है।
"पैकेज प्रबंधक इस संदर्भ की सटीकता को मान्य नहीं करते हैं, और हम देखते हैं कि हमलावर अपने पैकेज के गिट रिपॉजिटरी को वैध और लोकप्रिय बताते हुए इसका फायदा उठाते हैं, जो पीड़ित को यह सोचने में धोखा दे सकता है कि यह तथाकथित के कारण एक वैध पैकेज है। लोकप्रियता, ”रिपोर्ट में कहा गया है।
चेकमार्क्स की आपूर्ति श्रृंखला सुरक्षा इंजीनियरिंग समूह के प्रमुख जोसेफ हारुश बताते हैं कि ओपन सोर्स सॉफ्टवेयर की सर्वव्यापकता और सफलता ने इसे लोफीगैंग जैसे दुर्भावनापूर्ण अभिनेताओं के लिए एक परिपक्व लक्ष्य बना दिया है।
वह LofyGang की प्रमुख विशेषताओं को देखता है, जिसमें एक बड़ा हैकर समुदाय बनाने की क्षमता, कमांड-एंड-कंट्रोल (C2) सर्वर के रूप में वैध सेवाओं का दुरुपयोग, और ओपन सोर्स इकोसिस्टम को जहर देने के प्रयास शामिल हैं।
यह गतिविधि तीन अलग-अलग रिपोर्टों के बाद भी जारी है — from सोनाटाइप, सुरक्षित सूची, तथा जेफ्रॉग - LofyGang के दुर्भावनापूर्ण प्रयासों का खुलासा किया।
"वे सक्रिय रहते हैं और सॉफ़्टवेयर आपूर्ति श्रृंखला क्षेत्र में दुर्भावनापूर्ण पैकेज प्रकाशित करना जारी रखते हैं," वे कहते हैं।
इस रिपोर्ट को प्रकाशित करके, हारुश कहते हैं कि उन्हें हमलावरों के विकास के बारे में जागरूकता बढ़ाने की उम्मीद है, जो अब ओपन सोर्स हैक टूल के साथ समुदायों का निर्माण कर रहे हैं।
"हमलावर पीड़ितों पर भरोसा करते हैं कि वे विवरणों पर पर्याप्त ध्यान न दें," वे कहते हैं। "और ईमानदारी से, मैं भी, वर्षों के अनुभव के साथ, संभावित रूप से उन चालों में से कुछ के लिए गिर जाऊंगा क्योंकि वे नग्न आंखों के लिए वैध पैकेज की तरह लगते हैं।"
ओपन सोर्स सुरक्षा के लिए नहीं बनाया गया
हारुश बताते हैं कि दुर्भाग्य से ओपन सोर्स इकोसिस्टम सुरक्षा के लिए नहीं बनाया गया था।
"जबकि कोई भी साइन अप कर सकता है और एक ओपन सोर्स पैकेज प्रकाशित कर सकता है, यह जांचने के लिए कोई वीटिंग प्रक्रिया नहीं है कि पैकेज में दुर्भावनापूर्ण कोड है या नहीं," वे कहते हैं।
हाल ही में एक रिपोर्ट सॉफ्टवेयर-सिक्योरिटी फर्म Snyk और Linux Foundation से पता चला है कि लगभग आधी फर्मों के पास एक ओपन सोर्स सॉफ़्टवेयर सुरक्षा नीति है जो डेवलपर्स को घटकों और चौखटे के उपयोग में मार्गदर्शन करने के लिए है।
हालांकि, रिपोर्ट में यह भी पाया गया कि जिन लोगों के पास ऐसी नीतियां हैं वे आम तौर पर बेहतर सुरक्षा प्रदर्शित करते हैं - Google is उपलब्ध कराना हैकर्स को नजदीकी रास्ते में मदद करने के लिए सुरक्षा मुद्दों के लिए सॉफ्टवेयर की जांच और पैचिंग की इसकी प्रक्रिया।
"हम देखते हैं कि हमलावर इसका फायदा उठाते हैं क्योंकि दुर्भावनापूर्ण पैकेज प्रकाशित करना बहुत आसान है," वे बताते हैं। "चोरी की छवियों, समान नामों, या यहां तक कि अन्य वैध गिट परियोजनाओं की वेबसाइटों को संदर्भित करने के लिए पैकेजों को छिपाने में वीटिंग शक्तियों की कमी, यह देखने के लिए कि वे अन्य परियोजनाओं के सितारों को उनके दुर्भावनापूर्ण पैकेज पृष्ठों पर प्राप्त करते हैं।"
आपूर्ति श्रृंखला हमलों की ओर बढ़ रहे हैं?
हारुश के दृष्टिकोण से, हम उस बिंदु पर पहुँच रहे हैं जहाँ हमलावरों को ओपन सोर्स सप्लाई चेन अटैक सरफेस की पूरी क्षमता का एहसास होता है।
"मुझे उम्मीद है कि ओपन सोर्स सप्लाई चेन अटैक हमलावरों में और विकसित होंगे, जिसका लक्ष्य न केवल पीड़ित के क्रेडिट कार्ड को चुराना है, बल्कि पीड़ित के कार्यस्थल की साख, जैसे कि गिटहब अकाउंट, और वहां से, सॉफ्टवेयर सप्लाई चेन हमलों के बड़े जैकपॉट्स का लक्ष्य है। ," वह कहते हैं।
इसमें कार्यस्थल के निजी कोड रिपॉजिटरी तक पहुंचने की क्षमता, पीड़ित का प्रतिरूपण करते समय कोड योगदान करने की क्षमता, एंटरप्राइज़ ग्रेड सॉफ़्टवेयर में पिछले दरवाजे लगाना, और बहुत कुछ शामिल होगा।
"संगठन अपने डेवलपर्स को दो-कारक प्रमाणीकरण के साथ ठीक से लागू करके अपनी रक्षा कर सकते हैं, अपने सॉफ़्टवेयर डेवलपर्स को यह मानने के लिए शिक्षित कर सकते हैं कि लोकप्रिय ओपन सोर्स पैकेज सुरक्षित हैं यदि उनके पास कई डाउनलोड या सितारे हैं," हारुश कहते हैं, "और संदिग्ध के प्रति सतर्क रहना सॉफ्टवेयर पैकेज में गतिविधियाँ। ”
