A LofyGang fenyegetettségi csoport több mint 200 rosszindulatú NPM-csomagot használ több ezer telepítéssel hitelkártyaadatok, valamint játék- és streamingfiókok ellopására, mielőtt ellopott hitelesítő adatokat terjesztene és zsákmányt terjesztene a földalatti hackerfórumokon.
A Checkmarx jelentése szerint a kibertámadási csoport 2020 óta működik, és megfertőzi a nyílt forráskódú ellátási láncokat. rosszindulatú csomagok szoftveralkalmazások fegyveressé tétele érdekében.
The research team believes the group may have Brazilian origins, owing to the use of Brazilian Portuguese and a file called “brazil.js.” which contained malware found in a couple of their malicious packages.
The report also details the group’s tactic of leaking thousands of Disney+ and Minecraft accounts to an underground hacking community using the alias DyPolarLofy and promoting their hacking tools via GitHub.
“We saw several classes of malicious payloads, general password stealers, and Discord-specific persistent malware; some were embedded inside the package, and some downloaded the malicious payload during runtime from C2 servers,” the Pénteki beszámoló neves.
A LofyGang büntetlenül működik
The group has deployed tactics including typosquatting, which targets typing mistakes in the open source supply chain, as well as “StarJacking,” whereby the package’s GitHub repo URL is linked to an unrelated legitimate GitHub project.
“The package managers do not validate the accuracy of this reference, and we see attackers take advantage of that by stating their package’s Git repository is legitimate and popular, which may trick the victim into thinking this is a legitimate package due to its so-called popularity,” the report stated.
The ubiquity and success of open source software has made it a ripe target for malicious actors like LofyGang, explains Jossef Harush, head of Checkmarx’s supply chain security engineering group.
He sees LofyGang’s key characteristics as including its ability to build a large hacker community, abusing legitimate services as command-and-control (C2) servers, and its efforts in poisoning the open source ecosystem.
Ez a tevékenység három különböző jelentés után is folytatódik - től Sonatype, Securelistés jBéka — uncovered LofyGang’s malicious efforts.
“They remain active and continue to publish malicious packages in the software supply chain arena,” he says.
Harush a jelentés közzétételével azt reméli, hogy felhívja a figyelmet a támadók fejlődésére, akik most nyílt forráskódú hackeszközökkel építenek közösségeket.
“Attackers count on victims to not pay enough attention to the details,” he adds. “And honestly, even I, with years of experience, would potentially fall for some of those tricks as they seem like legitimate packages to the naked eye.”
Nyílt forráskód, nem a biztonság érdekében készült
Harush rámutat, hogy sajnos a nyílt forráskódú ökoszisztémát nem a biztonság kedvéért építették.
“While anybody can sign up and publish an open source package, no vetting process is in place to check if the package contains malicious code,” he says.
Egy nemrégiben jelentést A Snyk szoftverbiztonsági cég és a Linux Foundation felfedte, hogy a cégek körülbelül fele rendelkezik nyílt forráskódú szoftverbiztonsági politikával, amely útmutatást nyújt a fejlesztőknek az összetevők és keretrendszerek használatában.
A jelentés azonban azt is megállapította, hogy azok, akik ilyen szabályzatot alkalmaznak, általában jobb biztonságot mutatnak – a Google az elérhetővé tétele a szoftverek biztonsági problémáinak átvizsgálásának és javításának folyamata, amely segít bezárni a hackerek útját.
“We see attackers take advantage of this because it’s super easy to publish malicious packages,” he explains. “The lack of vetting powers in disguising the packages to appear legit with stolen images, similar names, or even referencing other legitimate Git projects’ websites just to see they get the other projects’ stars amount on their malicious packages pages.”
Ellátási lánc támadások felé halad?
From Harush’s perspective, we’re reaching the point where attackers realize the full potential of the open source supply chain attack surface.
“I expect open source supply chain attacks to evolve further into attackers aiming to steal not only the victim’s credit card, but also the victim’s workplace credentials, such as a GitHub account, and from there, aim for the bigger jackpots of software supply chain attacks,” he says.
This would include the ability to access a workplace’s private code repositories, with the capability to contribute code while impersonating the victim, planting backdoors in enterprise grade software, and more.
“Organizations can protect themselves by properly enforcing their developers with two-factor authentication, educate their software developers to not assume popular open source packages are safe if they appear to have many downloads or stars,” Harush adds, “and to be vigilant to suspicious activities in software packages.”
