LofyGang 脅威グループは、200 を超える悪意のある NPM パッケージを数千のインストールで使用して、クレジット カード データ、ゲームおよびストリーミング アカウントを盗み、盗んだ認証情報や戦利品を地下のハッキング フォーラムに広めています。
Checkmarx のレポートによると、このサイバー攻撃グループは 2020 年から活動しており、オープンソースのサプライ チェーンに感染させています。 悪意のあるパッケージ ソフトウェア アプリケーションを兵器化するためです。
研究チームは、ブラジルのポルトガル語と「brazil.js」と呼ばれるファイルを使用しているため、このグループはブラジルに起源を持つ可能性があると考えています。 これには、いくつかの悪意のあるパッケージで見つかったマルウェアが含まれていました。
この報告書は、DyPolarLofy というエイリアスを使用して地下のハッキング コミュニティに何千もの Disney+ および Minecraft のアカウントを漏らし、GitHub を介して彼らのハッキング ツールを宣伝するグループの戦術についても詳しく説明しています。
「いくつかのクラスの悪意のあるペイロード、一般的なパスワード スティーラー、および Discord 固有の永続的なマルウェアを確認しました。 パッケージ内に埋め込まれたものもあれば、ランタイム中に C2 サーバーから悪意のあるペイロードをダウンロードしたものもありました。」 金曜日のレポート と指摘した。
LofyGang は無罪で運営されています
このグループは、オープン ソース サプライ チェーンの入力ミスを標的とするタイポスクワッティングや、パッケージの GitHub リポジトリ URL を無関係の正当な GitHub プロジェクトにリンクさせる「スタージャッキング」などの戦術を展開しています。
「パッケージ マネージャーはこの参照の正確性を検証していません。攻撃者は、パッケージの Git リポジトリが正当で人気があると主張することでそれを利用していることがわかります。これは、被害者をだまして、そのいわゆる人気」と報告書は述べている。
Checkmarx のサプライ チェーン セキュリティ エンジニアリング グループの責任者である Jossef Harush 氏は、オープン ソース ソフトウェアの普及と成功により、LofyGang のような悪意のあるアクターにとって絶好のターゲットになっていると説明しています。
彼は、LofyGang の主な特徴として、大規模なハッカー コミュニティを構築する能力、正当なサービスをコマンド アンド コントロール (C2) サーバーとして悪用する能力、オープン ソース エコシステムを汚染する取り組みなどを挙げています。
この活動は、XNUMX つの異なるレポートの後も継続されます。 ソナタイプ, セキュアリスト, かえる — LofyGang の悪意のある取り組みを発見しました。
「彼らは活動を続けており、ソフトウェア サプライ チェーンの分野で悪意のあるパッケージを公開し続けています」と彼は言います。
このレポートを公開することで、Harush 氏は、現在オープン ソースのハッキング ツールでコミュニティを構築している攻撃者の進化に対する認識を高めたいと考えています。
「攻撃者は、被害者が細部に十分な注意を払わないように頼っています」と彼は付け加えます。 「そして正直なところ、何年もの経験を持つ私でさえ、肉眼では正当なパッケージのように見えるため、これらのトリックのいくつかに引っかかる可能性があります。」
セキュリティのために構築されていないオープンソース
残念ながら、オープンソースのエコシステムはセキュリティのために構築されたものではないとHarush氏は指摘しています。
「誰でもサインアップしてオープンソース パッケージを公開できますが、パッケージに悪意のあるコードが含まれているかどうかを確認するための審査プロセスはありません」と彼は言います。
最近の レポート ソフトウェア セキュリティ企業の Snyk と Linux Foundation の調査によると、約半数の企業が、開発者がコンポーネントやフレームワークを使用するための指針となるオープン ソース ソフトウェア セキュリティ ポリシーを導入しています。
ただし、このレポートでは、そのようなポリシーを実施している人は一般的にセキュリティが優れていることもわかりました。Google は 利用可能にする ハッカーへの道を閉じるのに役立つセキュリティ問題についてソフトウェアを審査し、パッチを適用するプロセス。
「悪意のあるパッケージを非常に簡単に公開できるため、攻撃者はこれを利用しています」と彼は説明します。 「悪意のあるパッケージのページで他のプロジェクトの星の数を取得することを確認するためだけに、盗んだ画像や類似の名前でパッケージを偽装したり、他の正当な Git プロジェクトの Web サイトを参照したりすることで、パッケージを偽装する審査権限の欠如」
サプライチェーン攻撃に向かっていますか?
Harush の観点からは、攻撃者がオープン ソース サプライ チェーンの攻撃面の潜在能力を最大限に発揮するポイントに到達しつつあります。
「オープン ソース サプライ チェーン攻撃は、被害者のクレジット カードだけでなく、被害者の職場の資格情報 (GitHub アカウントなど) を盗むことを目的とする攻撃者へとさらに進化し、そこから、ソフトウェア サプライ チェーン攻撃のより大きなジャックポットを狙うようになると予想しています。 」と彼は言います。
これには、職場のプライベート コード リポジトリにアクセスする機能、被害者になりすましてコードを提供する機能、エンタープライズ グレードのソフトウェアにバックドアを仕掛ける機能などが含まれます。
「組織は、開発者に XNUMX 要素認証を適切に適用することで組織を守ることができます。ソフトウェア開発者を教育して、人気のあるオープン ソース パッケージが多くのダウンロードやスターを持っているように見えても安全であると想定しないようにします」と Harush 氏は付け加えます。ソフトウェア パッケージ内のアクティビティ」。