קבוצת האיומים של LofyGang משתמשת ביותר מ-200 חבילות NPM זדוניות עם אלפי התקנות כדי לגנוב נתוני כרטיסי אשראי, וחשבונות משחקים וסטרימינג, לפני הפצת אישורים גנובים ושלל בפורומי פריצה תת-קרקעיים.
על פי דיווח של צ'קמארקס, קבוצת מתקפות הסייבר פועלת מאז 2020, והדביקה את שרשראות האספקה בקוד פתוח עם חבילות זדוניות במאמץ לעשות נשק של יישומי תוכנה.
צוות המחקר מאמין שלקבוצה עשויה להיות מוצא ברזילאי, עקב השימוש בפורטוגזית ברזילאית וקובץ בשם "brazil.js". שהכיל תוכנות זדוניות שנמצאו בכמה מהחבילות הזדוניות שלהם.
הדו"ח גם מפרט את הטקטיקה של הקבוצה של הדלפת אלפי חשבונות דיסני+ ומיינקראפט לקהילת פריצה מחתרתית באמצעות הכינוי DyPolarLofy וקידום כלי הפריצה שלהם באמצעות GitHub.
"ראינו כמה סוגים של מטענים זדוניים, גניבות סיסמאות כלליות ותוכנות זדוניות מתמשכות ספציפיות ל-Discord; חלקם הוטבעו בתוך החבילה, וחלקם הורידו את המטען הזדוני במהלך זמן הריצה משרתי C2", דו"ח שישי ציינתי.
LofyGang פועל ללא עונש
הקבוצה פרסה טקטיקות כולל הקלדה, המכוונת לטעויות הקלדה בשרשרת האספקה של הקוד הפתוח, כמו גם "StarJacking", לפיה כתובת ה-URL של ה-Repo GitHub של החבילה מקושרת לפרויקט GitHub לגיטימי לא קשור.
"מנהלי החבילות אינם מאשרים את הדיוק של הפניה זו, ואנו רואים שתוקפים מנצלים זאת בכך שמציינים שמאגר Git של החבילה שלהם לגיטימי ופופולרי, מה שעשוי להערים על הקורבן לחשוב שזו חבילה לגיטימית בגלל מה שנקרא שלה. פופולריות", נכתב בדו"ח.
הנוכחות וההצלחה של תוכנת קוד פתוח הפכו אותה למטרה בשלה עבור שחקנים זדוניים כמו LofyGang, מסביר יוסף הרוש, ראש קבוצת הנדסת אבטחת שרשרת האספקה של צ'קמארקס.
הוא רואה את המאפיינים העיקריים של LofyGang ככוללים את היכולת שלה לבנות קהילת האקרים גדולה, ניצול לרעה של שירותים לגיטימיים כשרתי פיקוד ושליטה (C2), ואת המאמצים שלה להרעיל את המערכת האקולוגית של הקוד הפתוח.
פעילות זו נמשכת גם לאחר שלושה דיווחים שונים - מ סוג Sonatype, רשימה מאובטחת, ו jFrog - חשף את המאמצים הזדוניים של LofyGang.
"הם נשארים פעילים וממשיכים לפרסם חבילות זדוניות בזירת שרשרת אספקת התוכנה", הוא אומר.
על ידי פרסום הדו"ח הזה, הרוש אומר שהוא מקווה להעלות את המודעות לאבולוציה של התוקפים, שבונים כעת קהילות עם כלי פריצה בקוד פתוח.
"התוקפים סומכים על קורבנות שלא ישימו לב מספיק לפרטים", הוא מוסיף. "והאמת, אפילו אני, עם שנים של ניסיון, יכול להיות שאפול לכמה מהטריקים האלה מכיוון שהם נראים כמו חבילות לגיטימיות בעין בלתי מזוינת."
קוד פתוח לא בנוי לאבטחה
הרוש מציין שלמרבה הצער, המערכת האקולוגית של הקוד הפתוח לא נבנתה עבור אבטחה.
"למרות שכל אחד יכול להירשם ולפרסם חבילת קוד פתוח, לא קיים תהליך בדיקה כדי לבדוק אם החבילה מכילה קוד זדוני", הוא אומר.
אחרון לדווח מחברת אבטחת התוכנה Snyk ו-Linux Foundation חשפו שלכמחצית מהחברות יש מדיניות אבטחת תוכנה בקוד פתוח כדי להדריך מפתחים בשימוש ברכיבים ובמסגרות.
עם זאת, הדו"ח גם מצא שאלו שיש להם מדיניות כזו מפגינים בדרך כלל אבטחה טובה יותר - כך גוגל העמדת זמין תהליך בדיקה ותיקון תוכנות לבעיות אבטחה כדי לסייע בסגירת דרכים להאקרים.
"אנחנו רואים שתוקפים מנצלים את זה כי זה סופר קל לפרסם חבילות זדוניות", הוא מסביר. "היעדר סמכויות בדיקה בהסוואה של החבילות כך שייראו לגיטימיות עם תמונות גנובות, שמות דומים, או אפילו הפניה לאתרים לגיטימיים אחרים של פרויקטים של Git רק כדי לראות שהם מקבלים את כמות הכוכבים של הפרויקטים האחרים בדפי החבילות הזדוניות שלהם."
הולכים לקראת התקפות שרשרת אספקה?
מנקודת המבט של הרוש, אנו מגיעים לנקודה שבה התוקפים מבינים את מלוא הפוטנציאל של משטח התקפת שרשרת האספקה בקוד פתוח.
"אני מצפה שהתקפות שרשרת האספקה בקוד פתוח יתפתחו עוד יותר לתוקפים שמטרתם לגנוב לא רק את כרטיס האשראי של הקורבן, אלא גם את אישורי מקום העבודה של הקורבן, כמו חשבון GitHub, ומשם, לשאוף לזכיות הגדולות יותר של התקפות שרשרת אספקת התוכנה. ," הוא אומר.
זה יכלול את היכולת לגשת למאגרי הקוד הפרטיים של מקום העבודה, עם היכולת לתרום קוד תוך התחזות לקורבן, נטיעת דלתות אחוריות בתוכנה ארגונית ועוד.
"ארגונים יכולים להגן על עצמם על ידי אכיפה נכונה של המפתחים שלהם עם אימות דו-גורמי, לחנך את מפתחי התוכנה שלהם לא להניח שחבילות קוד פתוח פופולריות בטוחות אם נראה שיש להן הרבה הורדות או כוכבים", מוסיף הרוש, "וכדי להיות ערניים לחשודים. פעילויות בחבילות תוכנה".
