LofyGang-trusselgruppen bruker mer enn 200 ondsinnede NPM-pakker med tusenvis av installasjoner for å stjele kredittkortdata og spill- og strømmekontoer, før de sprer stjålet legitimasjon og tyvegods i underjordiske hackingfora.
I følge en rapport fra Checkmarx har nettangrepsgruppen vært i drift siden 2020, og infisert åpen kildekode-forsyningskjeder med ondsinnede pakker i et forsøk på å bevæpne programvareapplikasjoner.
Forskerteamet tror gruppen kan ha brasiliansk opprinnelse, på grunn av bruken av brasiliansk portugisisk og en fil kalt «brazil.js». som inneholdt skadelig programvare funnet i et par av deres skadelige pakker.
Rapporten beskriver også gruppens taktikk for å lekke tusenvis av Disney+- og Minecraft-kontoer til et underjordisk hackerfellesskap ved å bruke aliaset DyPolarLofy og promotere deres hackingverktøy via GitHub.
«Vi så flere klasser av ondsinnet nyttelast, generelle passordtyvere og Discord-spesifikk vedvarende skadelig programvare; noen var innebygd i pakken, og noen lastet ned den skadelige nyttelasten under kjøring fra C2-servere.» Fredagsrapport bemerket.
LofyGang opererer ustraffet
Gruppen har implementert taktikk inkludert typosquatting, som retter seg mot skrivefeil i forsyningskjeden med åpen kildekode, så vel som "StarJacking", der pakkens GitHub-repo URL er knyttet til et ikke-relatert legitimt GitHub-prosjekt.
«Pakkebehandlerne validerer ikke nøyaktigheten av denne referansen, og vi ser at angripere drar fordel av det ved å si at pakkens Git-lager er legitimt og populært, noe som kan lure offeret til å tro at dette er en legitim pakke på grunn av dens såkalte popularitet», heter det i rapporten.
Allestedsnærværelsen og suksessen til åpen kildekode-programvare har gjort den til et modent mål for ondsinnede aktører som LofyGang, forklarer Jossef Harush, leder for Checkmarx sin sikkerhetsingeniørgruppe i forsyningskjeden.
Han ser på LofyGangs nøkkelkarakteristika som blant annet evnen til å bygge et stort hackerfellesskap, misbruke legitime tjenester som kommando-og-kontroll-servere (C2) og innsatsen for å forgifte åpen kildekode-økosystemet.
Denne aktiviteten fortsetter selv etter tre forskjellige rapporter — fra Sonatype, sikker listeog jFrog - avdekket LofyGangs ondsinnede innsats.
"De forblir aktive og fortsetter å publisere ondsinnede pakker i programvareforsyningskjeden," sier han.
Ved å publisere denne rapporten, sier Harush at han håper å øke bevisstheten om utviklingen av angripere, som nå bygger fellesskap med åpen kildekode-hackverktøy.
"Angripere regner med at ofrene ikke tar nok hensyn til detaljene," legger han til. "Og ærlig talt, selv jeg, med mange års erfaring, ville potensielt falle for noen av disse triksene siden de virker som legitime pakker for det blotte øye."
Åpen kildekode ikke bygget for sikkerhet
Harush påpeker at åpen kildekode-økosystemet dessverre ikke ble bygget for sikkerhet.
"Selv om hvem som helst kan registrere seg og publisere en åpen kildekode-pakke, er ingen kontrollprosess på plass for å sjekke om pakken inneholder ondsinnet kode," sier han.
En fersk rapporterer fra programvaresikkerhetsfirmaet Snyk og Linux Foundation avslørte at omtrent halvparten av firmaene har en sikkerhetspolicy for åpen kildekode på plass for å veilede utviklere i bruken av komponenter og rammeverk.
Rapporten fant imidlertid også at de som har slike retningslinjer generelt viser bedre sikkerhet – det er Google gjøre tilgjengelig sin prosess med å sjekke og lappe programvare for sikkerhetsproblemer for å hjelpe til med å lukke veier for hackere.
"Vi ser at angripere utnytter dette fordi det er superenkelt å publisere ondsinnede pakker," forklarer han. "Mangelen på kontrollkrefter når det gjelder å skjule pakkene til å virke legitime med stjålne bilder, lignende navn, eller til og med referere til andre legitime Git-prosjekters nettsteder bare for å se at de får de andre prosjektenes stjerner på sine ondsinnede pakkesider."
På vei mot forsyningskjedeangrep?
Fra Harushs perspektiv er vi på vei til et punkt hvor angripere innser det fulle potensialet til angrepsoverflaten for åpen kildekode.
"Jeg forventer at åpen kildekode-tilførselskjedeangrep vil utvikle seg videre til angripere som tar sikte på å stjele ikke bare offerets kredittkort, men også offerets legitimasjon på arbeidsplassen, for eksempel en GitHub-konto, og derfra sikte mot de større jackpottene av programvareforsyningskjedeangrep ," han sier.
Dette vil inkludere muligheten til å få tilgang til en arbeidsplasss private kodelagre, med muligheten til å bidra med kode mens man utgir seg for å være offeret, plante bakdører i programvare av bedriftskvalitet og mer.
"Organisasjoner kan beskytte seg selv ved å håndheve utviklerne sine med tofaktorautentisering, lære opp programvareutviklerne til å ikke anta at populære åpen kildekode-pakker er trygge hvis de ser ut til å ha mange nedlastinger eller stjerner," legger Harush til, "og å være på vakt mot mistenkelige aktiviteter i programvarepakker."
