Група загроз LofyGang використовує понад 200 шкідливих пакетів NPM із тисячами інсталяцій для викрадення даних кредитних карток, облікових записів для ігор і потокового передавання, перш ніж поширювати вкрадені облікові дані та здобич на підпільних хакерських форумах.
Згідно зі звітом Checkmarx, група кібератак діє з 2020 року, заражаючи ланцюги поставок з відкритим кодом шкідливі пакети намагаючись зробити програмне забезпечення зброєю.
Дослідницька група вважає, що група може мати бразильське походження завдяки використанню бразильської португальської мови та файлу під назвою «brazil.js». які містили зловмисне програмне забезпечення, знайдене в кількох їхніх шкідливих пакетах.
У звіті також детально описано тактику групи щодо витоку тисяч облікових записів Disney+ і Minecraft підпільній спільноті хакерів, використовуючи псевдонім DyPolarLofy та просування своїх інструментів злому через GitHub.
«Ми побачили кілька класів зловмисного корисного навантаження, звичайні викрадачі паролів і специфічне для Discord стійке шкідливе програмне забезпечення; деякі були вбудовані в пакет, а деякі завантажували зловмисне корисне навантаження під час виконання із серверів C2», Звіт у п'ятницю зазначив.
LofyGang діє безкарно
Група запровадила тактику, зокрема typosquatting, яка спрямована на помилки введення в ланцюжку постачання з відкритим кодом, а також «StarJacking», за допомогою якого URL-адреса репо GitHub пакета пов’язана з непов’язаним законним проектом GitHub.
«Менеджери пакетів не перевіряють точність цього посилання, і ми бачимо, що зловмисники користуються цим, заявляючи, що репозиторій Git їхнього пакета є законним і популярним, що може змусити жертву подумати, що це законний пакет через його т.зв. популярності", - йдеться в повідомленні.
Повсюдне поширення та успіх програмного забезпечення з відкритим вихідним кодом зробили його мішенню для зловмисників, таких як LofyGang, пояснює Йосеф Харуш, керівник групи інженерів безпеки ланцюга поставок Checkmarx.
Він бачить ключові характеристики LofyGang як здатність створювати велике хакерське співтовариство, зловживати законними службами, такими як командно-контрольні (C2) сервери, і його зусилля з отруєння екосистеми з відкритим кодом.
Ця діяльність продовжується навіть після трьох різних звітів — від Сонатип, Securelist та jFrog — розкрив зловмисні дії LofyGang.
«Вони залишаються активними та продовжують публікувати шкідливі пакети на арені ланцюга постачання програмного забезпечення», — каже він.
Публікуючи цей звіт, Харуш каже, що сподівається підвищити обізнаність про еволюцію зловмисників, які зараз створюють спільноти за допомогою інструментів злому з відкритим кодом.
«Зловмисники розраховують на те, що жертви не звернуть достатньо уваги на деталі», – додає він. «І, чесно кажучи, навіть я, маючи багаторічний досвід, потенційно потрапив би на деякі з цих трюків, оскільки неозброєним оком вони здаються законними пакетами».
Відкритий вихідний код не створений для безпеки
Харуш зазначає, що, на жаль, екосистема з відкритим кодом не була створена для безпеки.
«Хоч будь-хто може зареєструватися та опублікувати пакет із відкритим кодом, жодного процесу перевірки, щоб перевірити, чи містить пакет шкідливий код, не існує», — каже він.
Недавній звітом від фірми з безпеки програмного забезпечення Snyk і Linux Foundation виявили, що близько половини фірм мають політику безпеки програмного забезпечення з відкритим кодом, яка спрямовує розробників у використанні компонентів і фреймворків.
Однак у звіті також виявлено, що ті, хто має такі політики, як правило, демонструють кращу безпеку — Google зробити доступним його процес перевірки та виправлення програмного забезпечення для проблем безпеки, щоб допомогти закрити шляхи для хакерів.
«Ми бачимо, що зловмисники користуються цим, оскільки публікувати шкідливі пакети надзвичайно легко», — пояснює він. «Відсутність повноважень щодо приховування пакетів, щоб вони виглядали легітимними за допомогою вкрадених зображень, схожих імен або навіть посилань на веб-сайти інших законних проектів Git лише для того, щоб побачити, що вони отримують кількість зірок інших проектів на своїх сторінках шкідливих пакетів».
Наближаєтеся до атак на ланцюги поставок?
З точки зору Харуша, ми досягли точки, коли зловмисники усвідомлюють увесь потенціал поверхні атаки на ланцюжок поставок з відкритим кодом.
«Я очікую, що атаки на ланцюжок поставок з відкритим кодом переростуть у зловмисників, які прагнуть викрасти не лише кредитну картку жертви, а й облікові дані жертви на робочому місці, наприклад обліковий запис GitHub, а звідти прагнуть отримати більші джекпоти від атак на ланцюг поставок програмного забезпечення. ," він каже.
Це включатиме можливість доступу до приватних сховищ коду на робочому місці з можливістю внесення коду, видаючи себе за жертву, встановлення бекдорів у програмне забезпечення корпоративного рівня тощо.
«Організації можуть захистити себе, належним чином застосувавши для своїх розробників двофакторну автентифікацію, навчаючи розробників програмного забезпечення не вважати, що популярні пакети з відкритим кодом є безпечними, якщо вони мають багато завантажень або зірочок, — додає Харуш, — і бути пильними щодо підозрілих дії в програмних пакетах».
