Skupina groženj LofyGang uporablja več kot 200 zlonamernih paketov NPM z več tisoč namestitvami za krajo podatkov o kreditnih karticah ter računih za igre in pretakanje, preden razširi ukradene poverilnice in plen na podzemnih hekerskih forumih.
Po poročilu Checkmarxa je skupina za kibernetske napade delovala od leta 2020 in okužila odprtokodne dobavne verige z zlonamerne pakete v prizadevanju za oborožitev programskih aplikacij.
Raziskovalna skupina verjame, da ima skupina brazilski izvor zaradi uporabe brazilske portugalščine in datoteke, imenovane »brazil.js«. ki je vseboval zlonamerno programsko opremo, najdeno v nekaj njihovih zlonamernih paketih.
Poročilo tudi podrobno opisuje taktiko skupine, da na tisoče računov Disney+ in Minecraft razkrije podzemni hekerski skupnosti, ki uporablja vzdevek DyPolarLofy in promovira svoja hekerska orodja prek GitHuba.
»Videli smo več razredov zlonamernih vsebin, splošnih ukradnikov gesel in obstojne zlonamerne programske opreme, specifične za Discord; nekateri so bili vdelani v paket, nekateri pa so zlonamerno vsebino prenesli med izvajanjem s strežnikov C2,« Petkovo poročilo opozoriti.
LofyGang deluje nekaznovano
Skupina je uporabila taktike, vključno s typosquattingom, ki cilja na napake pri tipkanju v odprtokodni dobavni verigi, kot tudi »StarJacking«, pri čemer je URL repo GitHub paketa povezan z nepovezanim legitimnim projektom GitHub.
»Upravitelji paketov ne potrjujejo točnosti te reference in vidimo, da napadalci to izkoriščajo z izjavo, da je repozitorij Git njihovega paketa legitimen in priljubljen, kar lahko žrtev zavede, da misli, da je to legitimen paket zaradi njegove t.i. priljubljenosti,« piše v poročilu.
Zaradi vseprisotnosti in uspeha odprtokodne programske opreme je postala zrela tarča za zlonamerne akterje, kot je LofyGang, pojasnjuje Jossef Harush, vodja skupine za inženiring varnosti dobavne verige pri Checkmarxu.
Ključne značilnosti LofyGanga vidi kot njegovo zmožnost zgraditi veliko hekersko skupnost, zlorabo zakonitih storitev kot strežnikov za ukazovanje in nadzor (C2) ter njegova prizadevanja pri zastrupljanju odprtokodnega ekosistema.
Ta aktivnost se nadaljuje tudi po treh različnih poročilih — od Sonatip, Securelistin jŽaba — razkrila zlonamerna prizadevanja LofyGang.
"Ostajajo aktivni in še naprej objavljajo zlonamerne pakete v areni dobavne verige programske opreme," pravi.
Z objavo tega poročila Harush pravi, da upa, da bo dvignil zavest o razvoju napadalcev, ki zdaj gradijo skupnosti z odprtokodnimi orodji za hekerje.
"Napadalci računajo na to, da žrtve ne bodo dovolj pozorne na podrobnosti," dodaja. "In iskreno, celo jaz, z dolgoletnimi izkušnjami, bi potencialno padel na nekatere od teh trikov, saj se zdijo kot legitimni paketi s prostim očesom."
Odprtokodni sistem ni zasnovan za varnost
Harush poudarja, da na žalost odprtokodni ekosistem ni bil zgrajen zaradi varnosti.
»Medtem ko se lahko kdorkoli prijavi in objavi odprtokodni paket, ni vzpostavljen noben postopek preverjanja, da bi preverili, ali paket vsebuje zlonamerno kodo,« pravi.
Nedavna poročilo iz podjetja Snyk za varnost programske opreme in fundacije Linux sta razkrila, da ima približno polovica podjetij vzpostavljeno varnostno politiko odprtokodne programske opreme, ki vodi razvijalce pri uporabi komponent in ogrodij.
Vendar pa je poročilo tudi ugotovilo, da imajo tisti, ki imajo take pravilnike, na splošno boljšo varnost – Google je dajanje na voljo svoj postopek preverjanja in popravkov programske opreme za varnostne težave, da pomaga zapreti poti hekerjem.
"Vidimo, da napadalci to izkoriščajo, ker je zelo preprosto objaviti zlonamerne pakete," pojasnjuje. »Pomanjkanje pooblastil za preverjanje pri prikrivanju paketov, da bi bili videti zakoniti, z ukradenimi slikami, podobnimi imeni ali celo sklicevanjem na druga legitimna spletna mesta projektov Git samo zato, da bi videli, da dobijo število zvezdic drugih projektov na svojih straneh zlonamernih paketov.«
Se usmerjate proti napadom na dobavno verigo?
S Harushevega vidika smo dosegli točko, ko napadalci spoznajo celoten potencial odprtokodne površine napadov v dobavni verigi.
»Pričakujem, da se bodo odprtokodni napadi na dobavno verigo še naprej razvili v napadalce, katerih namen je ukrasti ne le žrtvino kreditno kartico, temveč tudi poverilnice žrtve na delovnem mestu, kot je račun GitHub, in od tam ciljati na večje jackpote napadov na dobavno verigo programske opreme. ," on reče.
To bi vključevalo možnost dostopa do zasebnih skladišč kode na delovnem mestu, z možnostjo prispevanja kode ob lažnem predstavljanju žrtve, nameščanje stranskih vrat v programsko opremo poslovnega razreda in še več.
»Organizacije se lahko zaščitijo tako, da svoje razvijalce ustrezno uveljavijo z dvostopenjsko avtentikacijo, poučijo svoje razvijalce programske opreme, naj ne domnevajo, da so priljubljeni odprtokodni paketi varni, če se zdi, da imajo veliko prenosov ali zvezdic,« dodaja Harush, »in naj bodo pozorni na sumljive aktivnosti v programskih paketih.«
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
