Il gruppo di minacce LofyGang utilizza più di 200 pacchetti NPM dannosi con migliaia di installazioni per rubare dati di carte di credito e account di gioco e streaming, prima di diffondere credenziali rubate e bottino nei forum di hacking clandestini.
Secondo un rapporto di Checkmarx, il gruppo di attacco informatico è operativo dal 2020, infettando le catene di approvvigionamento open source con pacchetti dannosi nel tentativo di armare le applicazioni software.
Il team di ricerca ritiene che il gruppo possa avere origini brasiliane, a causa dell'uso del portoghese brasiliano e di un file chiamato "brazil.js". che conteneva malware trovato in un paio dei loro pacchetti dannosi.
Il rapporto descrive anche la tattica del gruppo di far trapelare migliaia di account Disney+ e Minecraft a una comunità di hacker clandestini utilizzando l'alias DyPolarLofy e promuovendo i propri strumenti di hacking tramite GitHub.
“Abbiamo riscontrato diverse classi di payload dannosi, password stealer generici e malware persistente specifico di Discord; alcuni sono stati incorporati all'interno del pacchetto e altri hanno scaricato il payload dannoso durante il runtime dai server C2", il Rapporto del venerdì notato.
LofyGang opera impunemente
Il gruppo ha implementato tattiche tra cui il typosquatting, che prende di mira gli errori di battitura nella catena di approvvigionamento open source, nonché "StarJacking", in base al quale l'URL del repository GitHub del pacchetto è collegato a un progetto GitHub legittimo non correlato.
"I gestori di pacchetti non convalidano l'accuratezza di questo riferimento e vediamo che gli aggressori ne traggono vantaggio affermando che il repository Git del loro pacchetto è legittimo e popolare, il che potrebbe indurre la vittima a pensare che si tratti di un pacchetto legittimo a causa del suo cosiddetto popolarità", afferma il rapporto.
L'ubiquità e il successo del software open source lo hanno reso un bersaglio maturo per attori malintenzionati come LofyGang, spiega Jossef Harush, capo del gruppo di ingegneria della sicurezza della catena di approvvigionamento di Checkmarx.
Per lui le caratteristiche chiave di LofyGang includono la sua capacità di costruire una vasta comunità di hacker, l'abuso di servizi legittimi come server di comando e controllo (C2) e i suoi sforzi per avvelenare l'ecosistema open source.
Questa attività continua anche dopo tre diversi rapporti — da sonatipo, Lista di sicurezzae jFrog — ha scoperto gli sforzi dannosi di LofyGang.
"Rimangono attivi e continuano a pubblicare pacchetti dannosi nell'arena della catena di fornitura del software", afferma.
Pubblicando questo rapporto, Harush afferma di sperare di aumentare la consapevolezza dell'evoluzione degli aggressori, che ora stanno costruendo comunità con strumenti di hacking open source.
"Gli aggressori contano sul fatto che le vittime non prestino abbastanza attenzione ai dettagli", aggiunge. "E onestamente, anche io, con anni di esperienza, cadrei potenzialmente in alcuni di questi trucchi in quanto sembrano pacchetti legittimi a occhio nudo."
Open Source non progettato per la sicurezza
Harush sottolinea che sfortunatamente l'ecosistema open source non è stato creato per la sicurezza.
"Sebbene chiunque possa registrarsi e pubblicare un pacchetto open source, non è in atto alcun processo di verifica per verificare se il pacchetto contiene codice dannoso", afferma.
Una recente rapporto dalla società di sicurezza del software Snyk e dalla Linux Foundation hanno rivelato che circa la metà delle aziende ha in atto una politica di sicurezza del software open source per guidare gli sviluppatori nell'uso di componenti e framework.
Tuttavia, il rapporto ha anche rilevato che coloro che hanno tali politiche in atto generalmente mostrano una sicurezza migliore: Google lo è messa a disposizione il suo processo di controllo e patching del software per problemi di sicurezza per aiutare a chiudere le strade agli hacker.
"Vediamo che gli aggressori ne traggono vantaggio perché è semplicissimo pubblicare pacchetti dannosi", spiega. "La mancanza di poteri di controllo nel mascherare i pacchetti in modo che appaiano legittimi con immagini rubate, nomi simili o persino fare riferimento ai siti Web di altri progetti Git legittimi solo per vedere che ottengono l'importo delle stelle degli altri progetti sulle pagine dei loro pacchetti dannosi".
Ti stai dirigendo verso gli attacchi alla catena di approvvigionamento?
Dal punto di vista di Harush, stiamo raggiungendo il punto in cui gli aggressori realizzano tutto il potenziale della superficie di attacco della supply chain open source.
"Mi aspetto che gli attacchi alla catena di approvvigionamento open source si evolvano ulteriormente in aggressori che mirano a rubare non solo la carta di credito della vittima, ma anche le credenziali sul posto di lavoro della vittima, come un account GitHub, e da lì puntano ai jackpot più grandi degli attacchi alla catena di approvvigionamento software ," lui dice.
Ciò includerebbe la possibilità di accedere ai repository di codice privato di un ambiente di lavoro, con la possibilità di fornire codice impersonando la vittima, impiantando backdoor in software di livello aziendale e altro ancora.
"Le organizzazioni possono proteggersi applicando adeguatamente i loro sviluppatori con l'autenticazione a due fattori, educare i loro sviluppatori di software a non presumere che i pacchetti open source popolari siano sicuri se sembrano avere molti download o stelle", aggiunge Harush, "e a prestare attenzione ai sospetti attività in pacchetti software”.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
