Группа угроз LofyGang использует более 200 вредоносных пакетов NPM с тысячами установок для кражи данных кредитных карт, игровых и потоковых учетных записей, прежде чем распространять украденные учетные данные и добычу на подпольных хакерских форумах.
Согласно отчету Checkmarx, группа кибератак действует с 2020 года, заражая цепочки поставок с открытым исходным кодом. вредоносные пакеты в попытке превратить программные приложения в оружие.
Исследовательская группа считает, что группа может иметь бразильское происхождение из-за использования бразильского португальского языка и файла под названием «brazil.js». которые содержали вредоносное ПО, найденное в паре их вредоносных пакетов.
В отчете также подробно описывается тактика группы по утечке тысяч учетных записей Disney+ и Minecraft подпольному хакерскому сообществу, использующему псевдоним DyPolarLofy, и продвижению своих хакерских инструментов через GitHub.
«Мы видели несколько классов вредоносных полезных нагрузок, общих похитителей паролей и постоянных вредоносных программ, специфичных для Discord; некоторые из них были встроены в пакет, а некоторые загружали вредоносную полезную нагрузку во время выполнения с серверов C2». Пятничный отчет отметил.
LofyGang действует безнаказанно
Группа применила тактику, в том числе опечатку, которая нацелена на опечатки в цепочке поставок с открытым исходным кодом, а также «StarJacking», когда URL-адрес репозитория GitHub пакета связан с не связанным с ним законным проектом GitHub.
«Менеджеры пакетов не проверяют точность этой ссылки, и мы видим, что злоумышленники пользуются этим, заявляя, что Git-репозиторий их пакета является законным и популярным, что может обмануть жертву, заставив ее думать, что это законный пакет из-за его так называемого популярности», — говорится в сообщении.
Повсеместное распространение и успех программного обеспечения с открытым исходным кодом сделали его подходящей мишенью для таких злоумышленников, как LofyGang, объясняет Йоссеф Харуш, руководитель группы инженеров Checkmarx по обеспечению безопасности цепочки поставок.
Он считает, что ключевыми характеристиками LofyGang являются его способность создавать большое хакерское сообщество, злоупотребление законными услугами в качестве серверов управления и контроля (C2) и его усилия по отравлению экосистемы с открытым исходным кодом.
Эта активность продолжается даже после трех разных отчетов — от Сонатип, Securelistкачества jFrog — раскрыл злонамеренные усилия LofyGang.
«Они остаются активными и продолжают публиковать вредоносные пакеты в цепочке поставок программного обеспечения», — говорит он.
Публикуя этот отчет, Харуш надеется повысить осведомленность об эволюции злоумышленников, которые теперь создают сообщества с помощью хакерских инструментов с открытым исходным кодом.
«Злоумышленники рассчитывают на то, что жертвы не уделят должного внимания деталям», — добавляет он. «И, честно говоря, даже я с многолетним опытом потенциально попался бы на некоторые из этих уловок, поскольку невооруженным глазом они кажутся законными пакетами».
Открытый исходный код не создан для обеспечения безопасности
Харуш отмечает, что, к сожалению, экосистема с открытым исходным кодом не была создана для обеспечения безопасности.
«Хотя любой может зарегистрироваться и опубликовать пакет с открытым исходным кодом, не существует процесса проверки, чтобы проверить, содержит ли пакет вредоносный код», — говорит он.
Недавнее отчету из компании по безопасности программного обеспечения Snyk и Linux Foundation сообщили, что около половины фирм имеют политику безопасности программного обеспечения с открытым исходным кодом, которая помогает разработчикам использовать компоненты и фреймворки.
Однако отчет также показал, что те, у кого есть такие политики, как правило, обеспечивают лучшую безопасность — Google предоставление его процесс проверки и исправления программного обеспечения для проблем с безопасностью, чтобы помочь закрыть пути для хакеров.
«Мы видим, что злоумышленники пользуются этим, потому что очень легко публиковать вредоносные пакеты», — объясняет он. «Отсутствие полномочий проверки для маскировки пакетов, чтобы они выглядели законными, с украденными изображениями, похожими именами или даже ссылками на веб-сайты других законных проектов Git только для того, чтобы увидеть, что они получают количество звезд других проектов на своих страницах вредоносных пакетов».
На пути к атакам на цепочку поставок?
С точки зрения Харуша, мы приближаемся к моменту, когда злоумышленники осознают весь потенциал поверхности атаки цепочки поставок с открытым исходным кодом.
«Я ожидаю, что атаки на цепочку поставок с открытым исходным кодом будут развиваться дальше, и злоумышленники будут стремиться украсть не только кредитную карту жертвы, но и учетные данные на рабочем месте жертвы, такие как учетная запись GitHub, и оттуда стремиться к более крупным джекпотам атак на цепочку поставок программного обеспечения. ," он говорит.
Это будет включать в себя возможность доступа к частным репозиториям кода на рабочем месте, возможность вносить код, выдавая себя за жертву, внедрять бэкдоры в программное обеспечение корпоративного уровня и многое другое.
«Организации могут защитить себя, должным образом применяя к своим разработчикам двухфакторную аутентификацию, обучая своих разработчиков программного обеспечения не предполагать, что популярные пакеты с открытым исходным кодом безопасны, если у них много загрузок или звездочек, — добавляет Харуш, — и проявлять бдительность в отношении подозрительных действия в программных пакетах».
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
