O grupo de ameaças LofyGang está usando mais de 200 pacotes NPM maliciosos com milhares de instalações para roubar dados de cartão de crédito e contas de jogos e streaming, antes de espalhar credenciais roubadas e saques em fóruns clandestinos de hackers.
De acordo com um relatório da Checkmarx, o grupo de ataques cibernéticos está em operação desde 2020, infectando cadeias de suprimentos de código aberto com pacotes maliciosos em um esforço para armar aplicativos de software.
A equipe de pesquisa acredita que o grupo pode ter origem brasileira, devido ao uso do português brasileiro e de um arquivo chamado “brazil.js”. que continha malware encontrado em alguns de seus pacotes maliciosos.
O relatório também detalha a tática do grupo de vazar milhares de contas Disney + e Minecraft para uma comunidade de hackers subterrânea usando o alias DyPolarLofy e promovendo suas ferramentas de hackers via GitHub.
“Vimos várias classes de cargas maliciosas, ladrões de senhas gerais e malware persistente específico do Discord; alguns foram incorporados dentro do pacote e alguns baixaram a carga maliciosa durante o tempo de execução dos servidores C2”, o Relatório de sexta-feira notado.
LofyGang opera com impunidade
O grupo implantou táticas, incluindo typosquatting, que visa erros de digitação na cadeia de suprimentos de código aberto, bem como “StarJacking”, em que o URL do repositório GitHub do pacote está vinculado a um projeto GitHub legítimo não relacionado.
“Os gerenciadores de pacotes não validam a precisão dessa referência, e vemos os invasores se aproveitarem disso afirmando que o repositório Git de seu pacote é legítimo e popular, o que pode levar a vítima a pensar que este é um pacote legítimo devido ao seu chamado popularidade”, afirmou o relatório.
A onipresença e o sucesso do software de código aberto o tornaram um alvo maduro para agentes mal-intencionados como LofyGang, explica Jossef Harush, chefe do grupo de engenharia de segurança da cadeia de suprimentos da Checkmarx.
Ele vê as principais características do LofyGang como incluindo sua capacidade de construir uma grande comunidade de hackers, abusando de serviços legítimos como servidores de comando e controle (C2) e seus esforços em envenenar o ecossistema de código aberto.
Essa atividade continua mesmo após três relatórios diferentes — de Sonatipo, Lista segura e jFrog — descobriu os esforços maliciosos da LofyGang.
“Eles permanecem ativos e continuam a publicar pacotes maliciosos na arena da cadeia de suprimentos de software”, diz ele.
Ao publicar este relatório, Harush diz que espera aumentar a conscientização sobre a evolução dos invasores, que agora estão construindo comunidades com ferramentas de hack de código aberto.
“Os atacantes contam com as vítimas para não prestar atenção suficiente aos detalhes”, acrescenta. “E, honestamente, até eu, com anos de experiência, cairia em alguns desses truques, pois parecem pacotes legítimos a olho nu.”
Código aberto não construído para segurança
Harush ressalta que, infelizmente, o ecossistema de código aberto não foi construído para segurança.
“Embora qualquer pessoa possa se inscrever e publicar um pacote de código aberto, nenhum processo de verificação está em vigor para verificar se o pacote contém código malicioso”, diz ele.
Um recente Denunciar da empresa de segurança de software Snyk e da Linux Foundation revelaram que cerca de metade das empresas têm uma política de segurança de software de código aberto para orientar os desenvolvedores no uso de componentes e estruturas.
No entanto, o relatório também descobriu que aqueles que têm essas políticas em vigor geralmente exibem melhor segurança - o Google está disponibilizando seu processo de verificação e correção de software para problemas de segurança para ajudar a fechar caminhos para hackers.
“Vemos os invasores tirarem vantagem disso porque é super fácil publicar pacotes maliciosos”, explica ele. “A falta de poderes de verificação para disfarçar os pacotes para parecerem legítimos com imagens roubadas, nomes semelhantes ou até mesmo referenciar outros sites legítimos de projetos Git apenas para ver se eles obtêm a quantidade de estrelas de outros projetos em suas páginas de pacotes maliciosos.”
Rumo a ataques à cadeia de suprimentos?
Da perspectiva de Harush, estamos chegando ao ponto em que os invasores percebem todo o potencial da superfície de ataque da cadeia de suprimentos de código aberto.
“Espero que os ataques da cadeia de suprimentos de código aberto evoluam ainda mais para invasores com o objetivo de roubar não apenas o cartão de crédito da vítima, mas também as credenciais do local de trabalho da vítima, como uma conta do GitHub, e a partir daí, apontar para os maiores jackpots de ataques à cadeia de suprimentos de software ," ele diz.
Isso inclui a capacidade de acessar os repositórios de código privado de um local de trabalho, com a capacidade de contribuir com código enquanto se faz passar pela vítima, plantar backdoors em software de nível empresarial e muito mais.
“As organizações podem se proteger aplicando adequadamente seus desenvolvedores com autenticação de dois fatores, educar seus desenvolvedores de software para não presumir que pacotes populares de código aberto são seguros se parecerem ter muitos downloads ou estrelas”, acrescenta Harush, “e estar atentos a suspeitas atividades em pacotes de software”.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
