Kelompok ancaman LofyGang menggunakan lebih dari 200 paket NPM berbahaya dengan ribuan instalasi untuk mencuri data kartu kredit, dan akun game dan streaming, sebelum menyebarkan kredensial curian dan menjarah di forum peretasan bawah tanah.
Menurut laporan dari Checkmarx, kelompok serangan siber telah beroperasi sejak 2020, menginfeksi rantai pasokan open source dengan paket berbahaya dalam upaya untuk mempersenjatai aplikasi perangkat lunak.
Tim peneliti yakin kelompok itu mungkin berasal dari Brasil, karena penggunaan bahasa Portugis Brasil dan file yang disebut "brazil.js." yang berisi malware yang ditemukan di beberapa paket berbahaya mereka.
Laporan tersebut juga merinci taktik grup untuk membocorkan ribuan akun Disney+ dan Minecraft ke komunitas peretas bawah tanah menggunakan alias DyPolarLofy dan mempromosikan alat peretasan mereka melalui GitHub.
โKami melihat beberapa kelas muatan berbahaya, pencuri kata sandi umum, dan malware persisten khusus Discord; beberapa disematkan di dalam paket, dan beberapa mengunduh muatan berbahaya selama runtime dari server C2,โ laporan hari jumat dicatat.
LofyGang Beroperasi Dengan Kekebalan Hukum
Grup tersebut telah menerapkan taktik termasuk salah ketik, yang menargetkan kesalahan pengetikan dalam rantai pasokan sumber terbuka, serta "StarJacking", di mana URL repo GitHub paket ditautkan ke proyek GitHub sah yang tidak terkait.
โManajer paket tidak memvalidasi keakuratan referensi ini, dan kami melihat penyerang memanfaatkannya dengan menyatakan bahwa repositori Git paket mereka sah dan populer, yang dapat menipu korban untuk berpikir bahwa ini adalah paket yang sah karena apa yang disebut popularitas, โkata laporan itu.
Di mana-mana dan keberhasilan perangkat lunak sumber terbuka telah menjadikannya target yang matang bagi aktor jahat seperti LofyGang, jelas Jossef Harush, kepala grup rekayasa keamanan rantai pasokan Checkmarx.
Dia melihat karakteristik utama LofyGang termasuk kemampuannya untuk membangun komunitas peretas besar, menyalahgunakan layanan yang sah sebagai server perintah-dan-kontrol (C2), dan upayanya dalam meracuni ekosistem sumber terbuka.
Aktivitas ini berlanjut bahkan setelah tiga laporan berbeda โ dari sonatipe, daftar aman, dan jFrog โ mengungkap upaya jahat LofyGang.
โMereka tetap aktif dan terus menerbitkan paket berbahaya di arena rantai pasokan perangkat lunak,โ katanya.
Dengan menerbitkan laporan ini, Harush berharap dapat meningkatkan kesadaran akan evolusi penyerang, yang kini membangun komunitas dengan alat peretasan sumber terbuka.
โPenyerang mengandalkan korban untuk tidak cukup memperhatikan detailnya,โ tambahnya. โDan sejujurnya, bahkan saya, dengan pengalaman bertahun-tahun, berpotensi jatuh ke dalam beberapa trik itu karena kelihatannya seperti paket yang sah dengan mata telanjang.โ
Open Source Tidak Dibangun untuk Keamanan
Harush menunjukkan bahwa sayangnya ekosistem open source tidak dibangun untuk keamanan.
โSementara siapa pun dapat mendaftar dan menerbitkan paket open source, tidak ada proses pemeriksaan untuk memeriksa apakah paket tersebut berisi kode berbahaya,โ katanya.
Sebuah baru-baru ini melaporkan dari perusahaan keamanan perangkat lunak Snyk dan Linux Foundation mengungkapkan sekitar setengah dari perusahaan memiliki kebijakan keamanan perangkat lunak sumber terbuka untuk memandu pengembang dalam penggunaan komponen dan kerangka kerja.
Namun, laporan tersebut juga menemukan bahwa mereka yang memiliki kebijakan seperti itu umumnya menunjukkan keamanan yang lebih baik โ Google adalah menyediakan proses pemeriksaan dan penambalan perangkat lunak untuk masalah keamanan guna membantu menutup jalan bagi peretas.
โKami melihat penyerang memanfaatkan ini karena sangat mudah untuk mempublikasikan paket berbahaya,โ jelasnya. โKurangnya kekuatan pemeriksaan dalam menyamarkan paket agar tampak sah dengan gambar curian, nama yang mirip, atau bahkan merujuk situs web proyek Git lain yang sah hanya untuk melihat mereka mendapatkan jumlah bintang proyek lain di halaman paket berbahaya mereka.โ
Menuju Serangan Rantai Pasokan?
Dari sudut pandang Harush, kami mencapai titik di mana penyerang menyadari potensi penuh dari permukaan serangan rantai pasokan open source.
โSaya berharap serangan rantai pasokan sumber terbuka berkembang lebih jauh menjadi penyerang yang bertujuan untuk mencuri tidak hanya kartu kredit korban, tetapi juga kredensial tempat kerja korban, seperti akun GitHub, dan dari sana, bertujuan untuk mendapatkan jackpot yang lebih besar dari serangan rantai pasokan perangkat lunak. ," dia berkata.
Ini akan mencakup kemampuan untuk mengakses repositori kode pribadi tempat kerja, dengan kemampuan untuk menyumbangkan kode sambil menyamar sebagai korban, menanam pintu belakang dalam perangkat lunak kelas perusahaan, dan banyak lagi.
โOrganisasi dapat melindungi diri mereka sendiri dengan menegakkan pengembang mereka dengan otentikasi dua faktor, mendidik pengembang perangkat lunak mereka untuk tidak menganggap paket open source populer aman jika mereka tampaknya memiliki banyak unduhan atau bintang,โ tambah Harush, โdan waspada terhadap hal-hal yang mencurigakan. aktivitas dalam paket perangkat lunak.โ
