De LofyGang-bedreigingsgroep gebruikt meer dan 200 kwaadaardige NPM-pakketten met duizenden installaties om creditcardgegevens en gaming- en streamingaccounts te stelen, voordat ze gestolen inloggegevens en buit verspreiden in ondergrondse hackforums.
Volgens een rapport van Checkmarx is de cyberaanvalgroep sinds 2020 actief en infecteert open source supply chains met kwaadaardige pakketten in een poging om softwaretoepassingen te bewapenen.
Het onderzoeksteam is van mening dat de groep mogelijk van Braziliaanse afkomst is, vanwege het gebruik van Braziliaans Portugees en een bestand met de naam "brazil.js". die malware bevatte die werd aangetroffen in een aantal van hun kwaadaardige pakketten.
Het rapport beschrijft ook de tactiek van de groep om duizenden Disney+- en Minecraft-accounts te lekken naar een ondergrondse hackgemeenschap met behulp van de alias DyPolarLofy en hun hacktools te promoten via GitHub.
“We zagen verschillende soorten kwaadaardige payloads, algemene wachtwoord-stealers en Discord-specifieke persistente malware; sommige waren ingebed in het pakket en sommige downloadden de schadelijke payload tijdens runtime van C2-servers, "de vrijdag verslag dat is genoteerd.
LofyGang werkt straffeloos
De groep heeft tactieken ingezet, waaronder typosquatting, dat typefouten in de open source supply chain aanpakt, evenals "StarJacking", waarbij de GitHub-repo-URL van het pakket is gekoppeld aan een niet-gerelateerd legitiem GitHub-project.
“De pakketbeheerders valideren de nauwkeurigheid van deze referentie niet, en we zien dat aanvallers daar misbruik van maken door te stellen dat de Git-repository van hun pakket legitiem en populair is, wat het slachtoffer kan laten denken dat dit een legitiem pakket is vanwege de zogenaamde populariteit”, aldus het rapport.
De alomtegenwoordigheid en het succes van open source software hebben het tot een rijp doelwit gemaakt voor kwaadwillende actoren zoals LofyGang, legt Jossef Harush, hoofd van de supply chain security engineering-groep van Checkmarx, uit.
Hij ziet de belangrijkste kenmerken van LofyGang, zoals zijn vermogen om een grote hackergemeenschap op te bouwen, legitieme diensten te misbruiken als command-and-control (C2) -servers en zijn inspanningen om het open source-ecosysteem te vergiftigen.
Deze activiteit gaat zelfs door na drie verschillende rapporten — van sonatype, Beveiligde lijst en jKikker — ontdekte de kwaadaardige pogingen van LofyGang.
"Ze blijven actief en blijven kwaadaardige pakketten publiceren in de arena van de softwaretoeleveringsketen", zegt hij.
Door dit rapport te publiceren, hoopt Harush het bewustzijn te vergroten van de evolutie van aanvallers, die nu gemeenschappen bouwen met open source hacktools.
"Aanvallers rekenen erop dat slachtoffers niet genoeg aandacht besteden aan de details", voegt hij eraan toe. "En eerlijk gezegd zou zelfs ik, met jarenlange ervaring, mogelijk voor sommige van die trucs vallen, omdat ze met het blote oog legitieme pakketten lijken."
Open source niet gebouwd voor beveiliging
Harush wijst erop dat het open source-ecosysteem helaas niet is gebouwd voor beveiliging.
"Hoewel iedereen zich kan aanmelden en een open source-pakket kan publiceren, is er geen controleproces om te controleren of het pakket schadelijke code bevat", zegt hij.
Een recente verslag van softwarebeveiligingsbedrijf Snyk en de Linux Foundation onthulden dat ongeveer de helft van de bedrijven een open source softwarebeveiligingsbeleid heeft om ontwikkelaars te begeleiden bij het gebruik van componenten en frameworks.
Uit het rapport bleek echter ook dat degenen die een dergelijk beleid hebben, over het algemeen een betere beveiliging hebben - Google is beschikbaar stellen het proces van het doorlichten en patchen van software voor beveiligingsproblemen om hackers te helpen de weg te sluiten.
"We zien dat aanvallers hiervan profiteren omdat het supereenvoudig is om kwaadaardige pakketten te publiceren", legt hij uit. "Het gebrek aan controlebevoegdheden om de pakketten te vermommen om legitiem te lijken met gestolen afbeeldingen, vergelijkbare namen, of zelfs te verwijzen naar andere legitieme Git-projectenwebsites om te zien dat ze de sterren van de andere projecten op hun kwaadaardige pakketpagina's krijgen."
Op weg naar supply chain-aanvallen?
Vanuit het perspectief van Harush bereiken we het punt waarop aanvallers het volledige potentieel van het open source supply chain-aanvalsoppervlak realiseren.
“Ik verwacht dat open source supply chain-aanvallen zich verder zullen ontwikkelen tot aanvallers die niet alleen de creditcard van het slachtoffer willen stelen, maar ook de werkplekreferenties van het slachtoffer, zoals een GitHub-account, en van daaruit streven naar de grotere jackpots van software supply chain-aanvallen ," hij zegt.
Dit omvat de mogelijkheid om toegang te krijgen tot de private code-opslagplaatsen van een werkplek, met de mogelijkheid om code bij te dragen terwijl het slachtoffer zich voordoet, achterdeurtjes in enterprise-grade software te plaatsen, en meer.
"Organisaties kunnen zichzelf beschermen door hun ontwikkelaars op de juiste manier af te dwingen met twee-factor-authenticatie, hun softwareontwikkelaars te leren niet aan te nemen dat populaire open source-pakketten veilig zijn als ze veel downloads of sterren lijken te hebben," voegt Harush toe, "en waakzaam te zijn voor verdachte activiteiten in softwarepakketten.”
