LofyGang 위협 그룹은 신용 카드 데이터, 게임 및 스트리밍 계정을 훔치기 위해 수천 개의 설치가 포함된 200개 이상의 악성 NPM 패키지를 사용하여 훔친 자격 증명과 지하 해킹 포럼에서 약탈을 퍼뜨리고 있습니다.
Checkmarx의 보고서에 따르면 사이버 공격 그룹은 2020년부터 운영되어 오픈 소스 공급망을 악성 패키지 소프트웨어 응용 프로그램을 무기화하려는 노력의 일환입니다.
연구팀은 브라질 포르투갈어와 "brazil.js"라는 파일을 사용하기 때문에 그룹이 브라질 출신일 수 있다고 생각합니다. 몇 가지 악성 패키지에서 발견된 맬웨어가 포함되어 있습니다.
보고서는 또한 DyPolarLofy라는 별칭을 사용하여 지하 해킹 커뮤니티에 수천 개의 Disney+ 및 Minecraft 계정을 유출하고 GitHub를 통해 해킹 도구를 홍보하는 그룹의 전술에 대해 자세히 설명합니다.
“우리는 여러 종류의 악성 페이로드, 일반 비밀번호 도용자 및 Discord 고유의 영구 맬웨어를 보았습니다. 일부는 패키지 내부에 포함되었고 일부는 런타임 중에 C2 서버에서 악성 페이로드를 다운로드했습니다." 금요일 보고서 지적했다.
LofyGang은 면책 없이 운영됩니다.
이 그룹은 오픈 소스 공급망에서 타이핑 실수를 표적으로 삼는 타이포스쿼팅(typosquatting)과 패키지의 GitHub repo URL이 관련 없는 합법적인 GitHub 프로젝트에 연결되는 "StarJacking"을 포함한 전술을 배포했습니다.
"패키지 관리자는 이 참조의 정확성을 검증하지 않으며 공격자가 패키지의 Git 리포지토리가 합법적이고 인기가 있다고 말함으로써 이를 악용하는 것을 봅니다. 인기”라고 보고서는 밝혔다.
Checkmarx의 공급망 보안 엔지니어링 그룹 책임자인 Jossef Harush는 오픈 소스 소프트웨어의 편재성과 성공으로 인해 LofyGang과 같은 악의적인 공격자들의 표적이 되었다고 설명합니다.
그는 LofyGang의 주요 특징으로는 대규모 해커 커뮤니티를 구축하는 능력, 명령 및 제어(C2) 서버로 합법적인 서비스를 남용하는 능력, 오픈 소스 생태계를 오염시키려는 노력을 들 수 있습니다.
이 활동은 다음 세 가지 보고서 후에도 계속됩니다. 소나타입, 보안 목록및 제이프로그 — LofyGang의 악의적인 노력을 적발했습니다.
"그들은 계속 활동하며 소프트웨어 공급망 분야에서 계속해서 악성 패키지를 게시하고 있습니다."라고 그는 말합니다.
이 보고서를 발표함으로써 Harush는 현재 오픈 소스 해킹 도구로 커뮤니티를 구축하고 있는 공격자의 진화에 대한 인식을 높이고 싶다고 말했습니다.
그는 “공격자들은 피해자들이 세부 사항에 충분히 주의를 기울이지 않기를 기대한다”고 덧붙였다. "솔직히, 수년간의 경험이 있는 나조차도 육안으로 보기에는 합법적인 패키지처럼 보이기 때문에 이러한 속임수 중 일부에 빠질 가능성이 있습니다."
보안을 위해 구축되지 않은 오픈 소스
Harush는 불행히도 오픈 소스 생태계는 보안을 위해 구축되지 않았다고 지적합니다.
"누구나 가입하고 오픈 소스 패키지를 게시할 수 있지만 패키지에 악성 코드가 포함되어 있는지 확인하는 검사 프로세스는 없습니다."라고 그는 말합니다.
최근 신고 소프트웨어 보안 회사인 Snyk와 Linux Foundation의 조사에 따르면 회사의 약 절반이 개발자에게 구성 요소와 프레임워크 사용을 안내하는 오픈 소스 소프트웨어 보안 정책을 시행하고 있다고 밝혔습니다.
그러나 보고서는 또한 그러한 정책을 시행하는 사람들이 일반적으로 더 나은 보안을 보인다는 것을 발견했습니다. Google은 사용 가능하게 만드는 보안 문제에 대한 소프트웨어를 검사하고 패치하여 해커의 접근을 막는 데 도움이 됩니다.
"악성 패키지를 게시하기가 매우 쉽기 때문에 공격자가 이를 악용하는 것을 봅니다."라고 그는 설명합니다. "도난된 이미지, 유사한 이름으로 합법적인 것처럼 보이도록 패키지를 위장하거나 다른 합법적인 Git 프로젝트의 웹사이트를 참조하여 악성 패키지 페이지에 다른 프로젝트의 별을 표시하는 검사 권한이 부족합니다."
공급망 공격으로 향하고 있습니까?
Harush의 관점에서 우리는 공격자가 오픈 소스 공급망 공격 표면의 모든 잠재력을 깨닫는 지점에 도달했습니다.
“오픈 소스 공급망 공격이 피해자의 신용 카드뿐만 아니라 GitHub 계정과 같은 피해자의 직장 자격 증명을 훔치는 것을 목표로 하는 공격자로 더욱 진화하고 거기에서 더 큰 대박을 노리는 소프트웨어 공급망 공격을 기대합니다. "라고 그는 말한다.
여기에는 직장의 개인 코드 저장소에 액세스할 수 있는 기능과 피해자를 가장하면서 코드를 제공하는 기능, 엔터프라이즈급 소프트웨어에 백도어를 심는 기능 등이 포함됩니다.
Harush는 "조직은 XNUMX단계 인증을 통해 개발자에게 적절하게 적용하여 스스로를 보호할 수 있으며 인기 있는 오픈 소스 패키지가 다운로드 또는 별표를 많이 받은 것으로 보이더라도 안전하다고 가정하지 않도록 소프트웨어 개발자를 교육할 수 있습니다."라고 덧붙입니다. 소프트웨어 패키지의 활동."
