Grupul de amenințări LofyGang folosește peste 200 de pachete NPM rău intenționate cu mii de instalări pentru a fura datele cărților de credit și conturi de jocuri și de streaming, înainte de a răspândi acreditări furate și pradă în forumuri de hacking subterane.
Potrivit unui raport de la Checkmarx, grupul de atac cibernetic funcționează din 2020, infectând lanțurile de aprovizionare open source cu pachete rău intenționate într-un efort de a arma aplicațiile software.
Echipa de cercetare consideră că grupul poate avea origini braziliene, datorită utilizării portughezei braziliene și a unui fișier numit „brazil.js”. care conținea programe malware găsite în câteva dintre pachetele lor rău intenționate.
Raportul detaliază, de asemenea, tactica grupului de a scurge mii de conturi Disney+ și Minecraft către o comunitate de hacking subterană, folosind pseudonimul DyPolarLofy și de a-și promova instrumentele de hacking prin GitHub.
„Am văzut mai multe clase de încărcări utile rău intenționate, furori de parole generale și programe malware persistente specifice Discord; unele au fost încorporate în pachet, iar altele au descărcat încărcătura utilă rău intenționată în timpul rulării de pe serverele C2”, Raportul de vineri remarcat.
LofyGang funcționează cu impunitate
Grupul a implementat tactici, inclusiv typosquatting, care vizează greșelile de tastare în lanțul de aprovizionare cu sursă deschisă, precum și „StarJacking”, prin care adresa URL a depozitului GitHub a pachetului este legată de un proiect GitHub legitim fără legătură.
„Managerii de pachete nu validează acuratețea acestei referințe și vedem atacatorii profită de asta declarând că depozitul Git al pachetului lor este legitim și popular, ceea ce poate păcăli victima să creadă că acesta este un pachet legitim datorită așa-numitului său pachet. popularitate”, se arată în raport.
Ubicuitatea și succesul software-ului open source l-au făcut o țintă potrivită pentru actori rău intenționați precum LofyGang, explică Jossef Harush, șeful grupului de inginerie de securitate a lanțului de aprovizionare al Checkmarx.
El vede că caracteristicile cheie ale LofyGang includ capacitatea sa de a construi o comunitate mare de hackeri, abuzul de servicii legitime ca servere de comandă și control (C2) și eforturile sale de a otrăvi ecosistemul open source.
Această activitate continuă chiar și după trei rapoarte diferite — de la Sonatip, Securelist, și jbroasca — a descoperit eforturile răuvoitoare ale lui LofyGang.
„Ei rămân activi și continuă să publice pachete rău intenționate în arena lanțului de aprovizionare cu software”, spune el.
Prin publicarea acestui raport, Harush spune că speră să crească gradul de conștientizare cu privire la evoluția atacatorilor, care acum construiesc comunități cu instrumente de hacking open source.
„Atacatorii se bazează pe victime pentru a nu acorda suficientă atenție detaliilor”, adaugă el. „Și sincer, chiar și eu, cu ani de experiență, aș putea cădea în unele dintre aceste trucuri, deoarece par a fi pachete legitime cu ochiul liber.”
Open Source nu este creat pentru securitate
Harush subliniază că, din păcate, ecosistemul open source nu a fost construit pentru securitate.
„Deși oricine se poate înscrie și publica un pachet open source, nu există niciun proces de verificare pentru a verifica dacă pachetul conține cod rău intenționat”, spune el.
Un recent raportează de la firma de securitate software Snyk și Linux Foundation au dezvăluit că aproximativ jumătate dintre firme au o politică de securitate software open source pentru a ghida dezvoltatorii în utilizarea componentelor și cadrelor.
Cu toate acestea, raportul a mai constatat că cei care au astfel de politici în vigoare prezintă în general o securitate mai bună - Google este punerea la dispoziție procesul său de verificare și corecție a software-ului pentru probleme de securitate pentru a ajuta la închiderea căilor hackerilor.
„Vedem că atacatorii profită de acest lucru, deoarece este foarte ușor să publice pachete rău intenționate”, explică el. „Lipsa competențelor de verificare în a deghiza pachetele pentru a părea legitime cu imagini furate, nume similare sau chiar referire la alte site-uri web ale proiectelor Git legitime doar pentru a vedea că obțin valoarea stelelor celorlalte proiecte pe paginile lor de pachete rău intenționate.”
Îndreptați-vă către atacurile lanțului de aprovizionare?
Din perspectiva lui Harush, ajungem la punctul în care atacatorii realizează întregul potențial al suprafeței de atac a lanțului de aprovizionare open source.
„Mă așteaptă ca atacurile lanțului de aprovizionare cu sursă deschisă să evolueze și mai mult în atacatori care urmăresc să fure nu numai cardul de credit al victimei, ci și acreditările de la locul de muncă ale victimei, cum ar fi un cont GitHub, și de acolo să urmărească jackpot-urile mai mari ale atacurilor lanțului de aprovizionare cu software. ," el spune.
Aceasta ar include posibilitatea de a accesa depozitele private de coduri ale unui loc de muncă, cu capacitatea de a contribui cu cod în timp ce uzurparea identitatea victimei, instalarea ușilor din spate în software-ul de calitate pentru întreprinderi și multe altele.
„Organizațiile se pot proteja impunându-și dezvoltatorii în mod corespunzător cu autentificarea cu doi factori, își pot educa dezvoltatorii de software să nu presupună că pachetele populare cu sursă deschisă sunt sigure dacă par să aibă multe descărcări sau stele”, adaugă Harush, „și să fie vigilenți la suspecte. activități în pachete software.”
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
