Nhóm đe dọa LofyGang đang sử dụng hơn 200 gói NPM độc hại với hàng nghìn lượt cài đặt để đánh cắp dữ liệu thẻ tín dụng cũng như các tài khoản chơi game và phát trực tuyến, trước khi phát tán thông tin đăng nhập bị đánh cắp và cướp bóc trong các diễn đàn hack ngầm.
Theo báo cáo từ Checkmarx, nhóm tấn công mạng đã hoạt động từ năm 2020, lây nhiễm virus vào chuỗi cung ứng nguồn mở. gói độc hại trong nỗ lực vũ khí hóa các ứng dụng phần mềm.
Nhóm nghiên cứu tin rằng nhóm này có thể có nguồn gốc từ Brazil do sử dụng tiếng Bồ Đào Nha của Brazil và một tệp có tên “brazil.js”. chứa phần mềm độc hại được tìm thấy trong một vài gói độc hại của họ.
Báo cáo cũng nêu chi tiết chiến thuật của nhóm này là rò rỉ hàng nghìn tài khoản Disney+ và Minecraft cho một cộng đồng hack ngầm bằng cách sử dụng bí danh DyPolarLofy và quảng cáo các công cụ hack của họ thông qua GitHub.
“Chúng tôi đã thấy một số loại phần mềm độc hại, phần mềm đánh cắp mật khẩu chung và phần mềm độc hại dai dẳng dành riêng cho Discord; một số được nhúng bên trong gói và một số đã tải xuống tải trọng độc hại trong thời gian chạy từ máy chủ C2,” Báo cáo thứ sáu lưu ý.
LofyGang hoạt động mà không bị trừng phạt
Nhóm đã triển khai các chiến thuật bao gồm đánh máy, nhằm vào các lỗi đánh máy trong chuỗi cung ứng nguồn mở, cũng như “StarJacking”, theo đó URL repo GitHub của gói được liên kết với một dự án GitHub hợp pháp không liên quan.
“Những người quản lý gói không xác thực tính chính xác của tham chiếu này và chúng tôi thấy những kẻ tấn công lợi dụng điều đó bằng cách tuyên bố kho lưu trữ Git của gói của họ là hợp pháp và phổ biến, điều này có thể khiến nạn nhân nghĩ rằng đây là gói hợp pháp do cái gọi là của nó. mức độ phổ biến,” báo cáo nêu rõ.
Jossef Harush, người đứng đầu nhóm kỹ thuật bảo mật chuỗi cung ứng của Checkmarx giải thích: Sự phổ biến và thành công của phần mềm nguồn mở đã khiến nó trở thành mục tiêu chín muồi cho những kẻ độc hại như LofyGang.
Anh ta thấy các đặc điểm chính của LofyGang bao gồm khả năng xây dựng một cộng đồng hacker lớn, lạm dụng các dịch vụ hợp pháp như máy chủ ra lệnh và kiểm soát (C2) và nỗ lực đầu độc hệ sinh thái nguồn mở.
Hoạt động này vẫn tiếp tục ngay cả sau ba báo cáo khác nhau - từ sonatype, Danh sách bảo mậtvà jẾch — đã phát hiện ra những nỗ lực độc hại của LofyGang.
Ông nói: “Họ vẫn hoạt động và tiếp tục xuất bản các gói độc hại trong lĩnh vực chuỗi cung ứng phần mềm.
Bằng cách xuất bản báo cáo này, Harush cho biết anh hy vọng sẽ nâng cao nhận thức về sự phát triển của những kẻ tấn công, những kẻ hiện đang xây dựng cộng đồng bằng các công cụ hack nguồn mở.
Ông cho biết thêm: “Những kẻ tấn công cho rằng nạn nhân không chú ý đầy đủ đến các chi tiết”. “Và thành thật mà nói, ngay cả tôi, với nhiều năm kinh nghiệm, cũng có khả năng mắc phải một số mánh khóe đó vì chúng có vẻ giống như những gói hàng hợp pháp khi nhìn bằng mắt thường.”
Mã nguồn mở không được xây dựng để bảo mật
Harush chỉ ra rằng thật không may là hệ sinh thái nguồn mở không được xây dựng để bảo mật.
Ông nói: “Mặc dù bất kỳ ai cũng có thể đăng ký và xuất bản một gói nguồn mở nhưng không có quy trình kiểm tra nào được áp dụng để kiểm tra xem gói đó có chứa mã độc hay không”.
Mới đây báo cáo từ công ty bảo mật phần mềm Snyk và Linux Foundation đã tiết lộ khoảng một nửa số công ty có chính sách bảo mật phần mềm nguồn mở để hướng dẫn các nhà phát triển sử dụng các thành phần và khung.
Tuy nhiên, báo cáo cũng cho thấy những người áp dụng các chính sách như vậy thường có mức độ bảo mật tốt hơn - Google là làm sẵn có quá trình kiểm tra và vá lỗi phần mềm đối với các vấn đề bảo mật nhằm ngăn chặn tin tặc.
Ông giải thích: “Chúng tôi thấy những kẻ tấn công lợi dụng điều này vì việc xuất bản các gói độc hại cực kỳ dễ dàng”. “Việc thiếu quyền kiểm tra trong việc ngụy trang các gói để có vẻ hợp pháp với hình ảnh bị đánh cắp, tên tương tự hoặc thậm chí tham chiếu các trang web của các dự án Git hợp pháp khác chỉ để thấy rằng chúng nhận được số tiền sao của các dự án khác trên các trang gói độc hại của họ.”
Hướng tới các cuộc tấn công chuỗi cung ứng?
Từ quan điểm của Harush, chúng ta đang đạt đến điểm mà những kẻ tấn công nhận ra toàn bộ tiềm năng của bề mặt tấn công chuỗi cung ứng nguồn mở.
“Tôi dự đoán các cuộc tấn công chuỗi cung ứng nguồn mở sẽ phát triển hơn nữa thành những kẻ tấn công nhằm đánh cắp không chỉ thẻ tín dụng của nạn nhân mà còn cả thông tin đăng nhập tại nơi làm việc của nạn nhân, chẳng hạn như tài khoản GitHub, và từ đó, nhắm đến các cuộc tấn công chuỗi cung ứng phần mềm với số tiền lớn hơn ," anh ta nói.
Điều này sẽ bao gồm khả năng truy cập vào kho lưu trữ mã riêng của nơi làm việc, với khả năng đóng góp mã trong khi mạo danh nạn nhân, cài đặt cửa sau trong phần mềm cấp doanh nghiệp, v.v.
“Các tổ chức có thể tự bảo vệ mình bằng cách thực thi đúng cách các nhà phát triển của họ bằng xác thực hai yếu tố, giáo dục các nhà phát triển phần mềm của họ không cho rằng các gói nguồn mở phổ biến là an toàn nếu chúng có vẻ có nhiều lượt tải xuống hoặc nhiều sao,” Harush cho biết thêm, “và cảnh giác trước những nghi ngờ.” hoạt động trong các gói phần mềm.”
