Grupa zagrożeń LofyGang wykorzystuje ponad 200 złośliwych pakietów NPM z tysiącami instalacji do kradzieży danych kart kredytowych oraz kont gier i transmisji strumieniowych, zanim rozprzestrzeni skradzione dane uwierzytelniające i łupy na podziemnych forach hakerskich.
Według raportu firmy Checkmarx, grupa cyberataków działa od 2020 roku, infekując otwarte łańcuchy dostaw złośliwe pakiety w celu uzbrojenia aplikacji.
Zespół badawczy jest przekonany, że grupa może mieć brazylijskie pochodzenie dzięki użyciu brazylijskiego portugalskiego i pliku o nazwie „brazil.js”. które zawierały szkodliwe oprogramowanie znalezione w kilku ich złośliwych pakietach.
Raport szczegółowo opisuje także taktykę grupy polegającą na wyciekaniu tysięcy kont Disney+ i Minecraft do podziemnej społeczności hakerskiej za pomocą aliasu DyPolarLofy i promowania swoich narzędzi hakerskich za pośrednictwem GitHub.
„Widzieliśmy kilka klas szkodliwych ładunków, ogólnych złodziei haseł i trwałego szkodliwego oprogramowania specyficznego dla Discorda; niektóre były osadzone w pakiecie, a niektóre pobierały złośliwy ładunek podczas działania z serwerów C2” Piątkowy raport znakomity.
LofyGang działa bezkarnie
Grupa wdrożyła taktyki, w tym typosquatting, który ma na celu błędy w pisaniu w łańcuchu dostaw open source, a także „StarJacking”, dzięki czemu adres URL repozytorium GitHub pakietu jest powiązany z niepowiązanym, legalnym projektem GitHub.
„Menedżerowie pakietów nie weryfikują dokładności tego odniesienia i widzimy, że atakujący wykorzystują to, twierdząc, że repozytorium Git ich pakietu jest legalne i popularne, co może skłonić ofiarę do myślenia, że jest to legalny pakiet ze względu na jego tzw. popularność” – czytamy w raporcie.
Powszechność i sukces oprogramowania open source sprawiły, że stało się ono dojrzałym celem dla złośliwych podmiotów, takich jak LofyGang, wyjaśnia Jossef Harush, szef grupy inżynierów ds. bezpieczeństwa łańcucha dostaw w Checkmarx.
Uważa, że kluczowe cechy LofyGang to zdolność do budowania dużej społeczności hakerów, nadużywania legalnych usług, takich jak serwery dowodzenia i kontroli (C2), oraz jego wysiłki na rzecz zatruwania ekosystemu open source.
Ta aktywność trwa nawet po trzech różnych raportach — od Sonatyp, bezpieczna lista, żaba — odkrył złośliwe działania LofyGang.
„Pozostają aktywni i nadal publikują złośliwe pakiety na arenie łańcucha dostaw oprogramowania”, mówi.
Publikując ten raport, Harush ma nadzieję zwiększyć świadomość ewolucji napastników, którzy teraz budują społeczności za pomocą narzędzi hakerskich typu open source.
„Atakujący liczą na to, że ofiary nie zwrócą wystarczającej uwagi na szczegóły” – dodaje. „I szczerze mówiąc, nawet ja, z wieloletnim doświadczeniem, potencjalnie dałbym się nabrać na niektóre z tych sztuczek, ponieważ gołym okiem wydają się one legalnymi przesyłkami”.
Open Source nie jest zbudowany z myślą o bezpieczeństwie
Harush wskazuje, że niestety ekosystem open source nie został zbudowany z myślą o bezpieczeństwie.
„Chociaż każdy może zarejestrować się i opublikować pakiet open source, nie ma żadnego procesu sprawdzającego, czy pakiet zawiera złośliwy kod”, mówi.
Ostatnia raport z firmy zajmującej się bezpieczeństwem oprogramowania Snyk i Linux Foundation ujawniły, że około połowa firm ma wdrożoną politykę bezpieczeństwa oprogramowania open source, aby kierować programistami w zakresie korzystania z komponentów i frameworków.
Jednak raport wykazał również, że ci, którzy stosują takie zasady, generalnie wykazują lepsze zabezpieczenia — Google jest udostępnianie proces sprawdzania i łatania oprogramowania pod kątem problemów z bezpieczeństwem, aby pomóc w zamknięciu dróg przed hakerami.
„Widzimy, że atakujący wykorzystują to, ponieważ bardzo łatwo jest opublikować złośliwe pakiety”, wyjaśnia. „Brak uprawnień weryfikacyjnych w ukrywaniu pakietów, aby wyglądały legalnie ze skradzionymi obrazami, podobnymi nazwami, a nawet odwoływaniem się do innych legalnych witryn projektów Git tylko po to, aby zobaczyć, jak otrzymują liczbę gwiazdek innych projektów na swoich złośliwych stronach pakietów”.
Zmierzasz do ataków na łańcuch dostaw?
Z perspektywy Harusha dochodzimy do punktu, w którym osoby atakujące zdają sobie sprawę z pełnego potencjału powierzchni ataku w łańcuchu dostaw typu open source.
„Spodziewam się, że ataki typu open source w łańcuchu dostaw będą dalej ewoluować w osoby atakujące, których celem jest kradzież nie tylko karty kredytowej ofiary, ale także jej danych uwierzytelniających w miejscu pracy, takich jak konto GitHub, a stamtąd będą dążyć do większych jackpotów ataków w łańcuchu dostaw oprogramowania ," on mówi.
Obejmuje to możliwość dostępu do prywatnych repozytoriów kodów w miejscu pracy, możliwość wniesienia kodu podczas podszywania się pod ofiarę, umieszczania tylnych drzwi w oprogramowaniu klasy korporacyjnej i nie tylko.
„Organizacje mogą chronić się, odpowiednio egzekwując od swoich programistów uwierzytelnianie dwuskładnikowe, edukować programistów, aby nie zakładali, że popularne pakiety open source są bezpieczne, jeśli wydaje się, że mają wiele pobrań lub gwiazdek”, dodaje Harush, „i zachowywać czujność wobec podejrzliwych działania w pakietach oprogramowania.”
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
