กลุ่มภัยคุกคาม LofyGang ใช้แพ็คเกจ NPM ที่เป็นอันตรายมากกว่า 200 แพ็คเกจ พร้อมการติดตั้งนับพันเพื่อขโมยข้อมูลบัตรเครดิต และบัญชีเกมและสตรีมมิ่ง ก่อนที่จะเผยแพร่ข้อมูลประจำตัวที่ถูกขโมยและปล้นในฟอรัมการแฮ็กใต้ดิน
จากรายงานของ Checkmarx กลุ่มการโจมตีทางไซเบอร์ได้ดำเนินการมาตั้งแต่ปี 2020 ซึ่งทำให้ห่วงโซ่อุปทานโอเพ่นซอร์สติดไวรัสด้วย แพ็คเกจที่เป็นอันตราย ในความพยายามที่จะสร้างอาวุธให้กับแอพพลิเคชั่นซอฟต์แวร์
ทีมวิจัยเชื่อว่ากลุ่มนี้อาจมีต้นกำเนิดจากบราซิล เนื่องจากมีการใช้ภาษาโปรตุเกสแบบบราซิลและไฟล์ชื่อ “brazil.js” ซึ่งมีมัลแวร์ที่พบในแพ็คเกจที่เป็นอันตรายสองสามตัว
รายงานยังมีรายละเอียดกลยุทธ์ของกลุ่มในการรั่วไหลของบัญชี Disney+ และ Minecraft หลายพันบัญชีไปยังชุมชนแฮ็คใต้ดินโดยใช้นามแฝง DyPolarLofy และส่งเสริมเครื่องมือแฮ็คผ่าน GitHub
“เราเห็นเพย์โหลดที่เป็นอันตรายหลายระดับ ตัวขโมยรหัสผ่านทั่วไป และมัลแวร์ถาวรเฉพาะของ Discord; บางส่วนถูกฝังอยู่ภายในแพ็คเกจ และบางส่วนดาวน์โหลดเพย์โหลดที่เป็นอันตรายระหว่างรันไทม์จากเซิร์ฟเวอร์ C2” รายงานวันศุกร์ ข้อสังเกต.
LofyGang ดำเนินการโดยไม่ต้องรับโทษ
กลุ่มได้ปรับใช้กลยุทธ์ต่างๆ รวมถึงการพิมพ์ผิด ซึ่งมุ่งเป้าไปที่การพิมพ์ผิดพลาดในห่วงโซ่อุปทานโอเพนซอร์ส เช่นเดียวกับ "StarJacking" โดยที่ URL repo GitHub ของแพ็คเกจจะเชื่อมโยงกับโครงการ GitHub ที่ถูกต้องตามกฎหมายที่ไม่เกี่ยวข้อง
“ผู้จัดการแพ็คเกจไม่ตรวจสอบความถูกต้องของข้อมูลอ้างอิงนี้ และเราเห็นว่าผู้โจมตีใช้ประโยชน์จากสิ่งนั้นโดยระบุว่าที่เก็บ Git ของแพ็คเกจนั้นถูกต้องและเป็นที่นิยม ซึ่งอาจหลอกล่อเหยื่อให้คิดว่านี่เป็นแพ็คเกจที่ถูกต้องเนื่องจากสิ่งที่เรียกว่า ความนิยม” รายงานระบุ
Jossef Harush หัวหน้ากลุ่มวิศวกรรมความปลอดภัยซัพพลายเชนของ Checkmarx อธิบาย ความแพร่หลายและความสำเร็จของซอฟต์แวร์โอเพ่นซอร์สทำให้เป็นเป้าหมายที่สุกงอมสำหรับผู้โจมตีอย่าง LofyGang
เขาเห็นว่าคุณลักษณะสำคัญของ LofyGang นั้นรวมถึงความสามารถในการสร้างชุมชนแฮ็กเกอร์ขนาดใหญ่ การใช้บริการที่ถูกต้องตามกฎหมายในฐานะเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) และความพยายามในการทำลายระบบนิเวศโอเพ่นซอร์ส
กิจกรรมนี้ยังคงดำเนินต่อไปแม้หลังจากรายงานสามฉบับที่แตกต่างกัน — จาก โซนาไทป์, รายการที่ปลอดภัยและ เจกบ — เปิดเผยความพยายามที่เป็นอันตรายของ LofyGang
“พวกเขายังคงใช้งานอยู่และยังคงเผยแพร่แพ็คเกจที่เป็นอันตรายในเวทีซัพพลายเชนของซอฟต์แวร์” เขากล่าว
โดยการเผยแพร่รายงานนี้ Harush กล่าวว่าเขาหวังว่าจะสร้างความตระหนักรู้เกี่ยวกับวิวัฒนาการของผู้โจมตี ซึ่งขณะนี้กำลังสร้างชุมชนด้วยเครื่องมือแฮ็กแบบโอเพนซอร์ส
“ผู้โจมตีเชื่อว่าเหยื่อไม่ใส่ใจในรายละเอียดมากพอ” เขากล่าวเสริม “และพูดตามตรง แม้แต่ฉันที่มีประสบการณ์หลายปีก็อาจตกหลุมรักกลอุบายบางอย่าง เพราะดูเหมือนเป็นแพ็คเกจที่ถูกต้องด้วยตาเปล่า”
โอเพ่นซอร์สไม่ได้สร้างมาเพื่อความปลอดภัย
Harush ชี้ให้เห็นว่าน่าเสียดายที่ระบบนิเวศโอเพนซอร์สไม่ได้สร้างขึ้นเพื่อความปลอดภัย
“ในขณะที่ใครก็ตามสามารถลงทะเบียนและเผยแพร่แพ็คเกจโอเพ่นซอร์ส แต่ไม่มีกระบวนการตรวจสอบเพื่อตรวจสอบว่าแพ็คเกจนั้นมีโค้ดที่เป็นอันตรายหรือไม่” เขากล่าว
เมื่อเร็ว ๆ นี้ รายงาน จากบริษัทรักษาความปลอดภัยซอฟต์แวร์ Snyk และ Linux Foundation เปิดเผยว่าประมาณครึ่งหนึ่งของบริษัทมีนโยบายความปลอดภัยซอฟต์แวร์โอเพ่นซอร์สเพื่อให้คำแนะนำนักพัฒนาในการใช้ส่วนประกอบและเฟรมเวิร์ก
อย่างไรก็ตาม รายงานยังพบว่าผู้ที่มีนโยบายดังกล่าวโดยทั่วไปมีความปลอดภัยที่ดีขึ้น — Google is ทำให้ใช้ได้ กระบวนการตรวจสอบและแพตช์ซอฟต์แวร์สำหรับปัญหาด้านความปลอดภัย เพื่อช่วยปิดช่องทางให้แฮกเกอร์
“เราเห็นผู้โจมตีใช้ประโยชน์จากสิ่งนี้ เพราะมันง่ายมากที่จะเผยแพร่แพ็คเกจที่เป็นอันตราย” เขาอธิบาย “การขาดอำนาจในการตรวจสอบในการปลอมแปลงแพ็คเกจเพื่อให้ดูเหมือนถูกต้องด้วยรูปภาพที่ถูกขโมย ชื่อที่คล้ายกัน หรือแม้แต่การอ้างอิงเว็บไซต์ของโปรเจ็กต์ Git ที่ถูกกฎหมายอื่น ๆ เพียงเพื่อดูว่าพวกเขาได้รับจำนวนดาวของโปรเจ็กต์อื่นบนหน้าแพ็คเกจที่เป็นอันตราย”
มุ่งหน้าสู่การโจมตีซัพพลายเชน?
จากมุมมองของ Harush เรามาถึงจุดที่ผู้โจมตีตระหนักถึงศักยภาพของการโจมตีแบบโอเพนซอร์สอย่างเต็มรูปแบบ
“ฉันคาดว่าการโจมตีของซัพพลายเชนแบบโอเพ่นซอร์สจะพัฒนาไปสู่ผู้โจมตีโดยมีเป้าหมายเพื่อขโมยไม่เพียงแต่บัตรเครดิตของเหยื่อ แต่ยังรวมถึงข้อมูลประจำตัวในที่ทำงานของเหยื่อด้วย เช่น บัญชี GitHub และจากจุดนั้น มุ่งเป้าไปที่แจ็คพอตที่ใหญ่กว่าของการโจมตีห่วงโซ่อุปทานของซอฟต์แวร์ ," เขาพูดว่า.
ซึ่งรวมถึงความสามารถในการเข้าถึงที่เก็บรหัสส่วนตัวของสถานที่ทำงาน พร้อมความสามารถในการสนับสนุนรหัสขณะแอบอ้างเป็นเหยื่อ การฝังแบ็คดอร์ในซอฟต์แวร์ระดับองค์กร และอื่นๆ
“องค์กรสามารถป้องกันตนเองได้โดยการบังคับนักพัฒนาอย่างถูกต้องด้วยการรับรองความถูกต้องด้วยสองปัจจัย ให้ความรู้แก่นักพัฒนาซอฟต์แวร์ว่าอย่าถือว่าแพ็คเกจโอเพ่นซอร์สที่ได้รับความนิยมนั้นปลอดภัย หากดูเหมือนว่าจะมีการดาวน์โหลดหรือดาวจำนวนมาก” Harush กล่าวเสริม “และให้ระมัดระวังผู้ต้องสงสัย กิจกรรมในแพ็คเกจซอฟต์แวร์”
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
