LofyGang-hotgruppen använder mer än 200 skadliga NPM-paket med tusentals installationer för att stjäla kreditkortsdata och spel- och streamingkonton, innan de sprider stulna autentiseringsuppgifter och byte i underjordiska hackforum.
Enligt en rapport från Checkmarx har cyberattackgruppen varit i drift sedan 2020 och infekterat leveranskedjor med öppen källkod med skadliga paket i ett försök att beväpna mjukvaruapplikationer.
Forskargruppen tror att gruppen kan ha brasilianskt ursprung, på grund av användningen av brasiliansk portugisiska och en fil som heter "brazil.js." som innehöll skadlig programvara som hittats i ett par av deras skadliga paket.
Rapporten beskriver också gruppens taktik att läcka tusentals Disney+- och Minecraft-konton till en underjordisk hackargemenskap med aliaset DyPolarLofy och marknadsföra deras hackverktyg via GitHub.
"Vi såg flera klasser av skadliga nyttolaster, generella lösenordsstöldare och Discord-specifik ihållande skadlig programvara; några var inbäddade i paketet, och några laddade ner den skadliga nyttolasten under körning från C2-servrar. Fredagsrapport noteras.
LofyGang opererar ostraffat
Gruppen har implementerat taktik inklusive typosquatting, som riktar sig mot skrivfel i leveranskedjan med öppen källkod, såväl som "StarJacking", varvid paketets GitHub-repo-URL är länkad till ett icke-relaterat legitimt GitHub-projekt.
“Pakethanterarna validerar inte riktigheten av denna referens, och vi ser angripare dra fördel av det genom att konstatera att deras pakets Git-förråd är legitimt och populärt, vilket kan lura offret att tro att detta är ett legitimt paket på grund av dess s.k. popularitet”, stod det i rapporten.
Allmänheten och framgången för programvara med öppen källkod har gjort den till ett moget mål för illvilliga aktörer som LofyGang, förklarar Jossef Harush, chef för Checkmarx säkerhetsteknikgrupp för leveranskedjan.
Han ser LofyGangs nyckelegenskaper som bland annat dess förmåga att bygga en stor hackergemenskap, missbruka legitima tjänster som kommando-och-kontroll (C2)-servrar och dess ansträngningar för att förgifta ekosystemet med öppen källkod.
Denna aktivitet fortsätter även efter tre olika rapporter — från Sonatyp, Säkerhetslistaoch jFrog — avslöjade LofyGangs illvilliga försök.
"De förblir aktiva och fortsätter att publicera skadliga paket i mjukvaruförsörjningskedjan", säger han.
Genom att publicera den här rapporten säger Harush att han hoppas kunna öka medvetenheten om utvecklingen av angripare, som nu bygger gemenskaper med hackverktyg med öppen källkod.
"Angripare räknar med att offren inte är tillräckligt uppmärksamma på detaljerna", tillägger han. "Och ärligt talat, även jag, med många års erfarenhet, skulle potentiellt falla för några av dessa knep eftersom de verkar som legitima paket för blotta ögat."
Öppen källkod är inte byggd för säkerhet
Harush påpekar att ekosystemet med öppen källkod tyvärr inte byggdes för säkerhet.
"Medan vem som helst kan registrera sig och publicera ett paket med öppen källkod finns ingen kontrollprocess på plats för att kontrollera om paketet innehåller skadlig kod", säger han.
En nyligen rapport från mjukvarusäkerhetsföretaget Snyk och Linux Foundation avslöjade att ungefär hälften av företagen har en säkerhetspolicy för öppen källkod på plats för att vägleda utvecklare i användningen av komponenter och ramverk.
Men rapporten fann också att de som har sådana policyer på plats i allmänhet uppvisar bättre säkerhet – det är Google tillgängliggörande dess process för att kontrollera och korrigera programvara för säkerhetsproblem för att hjälpa till att stänga vägar för hackare.
"Vi ser att angripare utnyttjar detta eftersom det är superenkelt att publicera skadliga paket", förklarar han. "Avsaknaden av kontrollbefogenheter för att dölja paketen så att de verkar legitima med stulna bilder, liknande namn, eller till och med hänvisa till andra legitima Git-projekts webbplatser bara för att se att de får de andra projektens stjärnor på sina skadliga paketsidor."
På väg mot Supply Chain Attacks?
Ur Harushs perspektiv har vi nått den punkt där angripare inser den fulla potentialen hos attackytan med öppen källkod.
"Jag förväntar mig att attacker i leveranskedjan med öppen källkod kommer att utvecklas ytterligare till angripare som syftar till att stjäla inte bara offrets kreditkort utan också offrets uppgifter på arbetsplatsen, som ett GitHub-konto, och därifrån sikta på de större jackpottarna av attacker i programvarans leveranskedja. ," han säger.
Detta skulle inkludera möjligheten att få tillgång till en arbetsplatss privata kodlager, med möjligheten att bidra med kod samtidigt som man utger sig för att vara offret, plantera bakdörrar i programvara av företagskvalitet och mer.
"Organisationer kan skydda sig själva genom att på rätt sätt upprätthålla sina utvecklare med tvåfaktorsautentisering, utbilda sina programvaruutvecklare att inte anta att populära paket med öppen källkod är säkra om de verkar ha många nedladdningar eller stjärnor", tillägger Harush, "och att vara vaksamma mot misstänkta aktiviteter i mjukvarupaket.”
