LofyGang 威胁组织正在使用 200 多个恶意 NPM 包和数千个安装程序来窃取信用卡数据、游戏和流媒体帐户,然后在地下黑客论坛中传播被盗凭据和战利品。
根据 Checkmarx 的一份报告,该网络攻击组织自 2020 年以来一直在运作,通过以下方式感染开源供应链 恶意包 努力将软件应用程序武器化。
研究小组认为,由于使用了巴西葡萄牙语和一个名为“brazil.js”的文件,该组织可能起源于巴西。 其中包含在他们的几个恶意软件包中发现的恶意软件。
该报告还详细介绍了该组织使用别名 DyPolarLofy 将数千个 Disney+ 和 Minecraft 帐户泄露给地下黑客社区的策略,并通过 GitHub 推广他们的黑客工具。
“我们看到了几类恶意负载、通用密码窃取程序和 Discord 特定的持久性恶意软件; 有些嵌入在包中,有些在运行时从 C2 服务器下载了恶意负载,” 周五报告 指出。
LofyGang 逍遥法外
该组织已经部署了包括域名抢注在内的策略,该策略针对开源供应链中的输入错误,以及“StarJacking”,即包的 GitHub 存储库 URL 链接到一个不相关的合法 GitHub 项目。
“包管理器没有验证这个引用的准确性,我们看到攻击者通过声明他们包的 Git 存储库是合法且受欢迎的,这可能会诱使受害者认为这是一个合法的包,因为它所谓的受欢迎,”报告称。
Checkmarx 供应链安全工程组负责人 Jossef Harush 解释说,开源软件的普及和成功使其成为 LofyGang 等恶意行为者的成熟目标。
他认为 LofyGang 的主要特征包括其建立大型黑客社区的能力、滥用合法服务作为命令和控制 (C2) 服务器以及毒害开源生态系统的努力。
即使在三个不同的报告之后,此活动仍在继续 - 从 声纳型, Securelist及 青蛙 — 揭露了 LofyGang 的恶意行为。
“他们仍然活跃,并继续在软件供应链领域发布恶意软件包,”他说。
通过发布这份报告,Harush 表示他希望提高对攻击者演变的认识,这些攻击者现在正在使用开源黑客工具建立社区。
“攻击者指望受害者没有对细节给予足够的关注,”他补充道。 “老实说,即使是我,有多年的经验,也可能会中招,因为它们在肉眼看来像是合法的包裹。”
开源不是为安全而构建的
Harush 指出,不幸的是,开源生态系统并不是为安全而构建的。
“虽然任何人都可以注册并发布开源包,但没有任何审查程序来检查包是否包含恶意代码,”他说。
最近 报告 来自软件安全公司 Snyk 和 Linux 基金会的消息透露,大约一半的公司制定了开源软件安全政策,以指导开发人员使用组件和框架。
然而,该报告还发现,那些制定了此类政策的人通常表现出更好的安全性——谷歌是 提供 它审查和修补软件以解决安全问题的过程,以帮助关闭黑客的途径。
“我们看到攻击者利用了这一点,因为发布恶意软件包非常容易,”他解释道。 “在使用被盗图像、相似名称、甚至引用其他合法 Git 项目的网站以查看他们在恶意包页面上获得其他项目的星级数量时,缺乏审查权力来伪装包以使其看起来合法。”
走向供应链攻击?
从 Harush 的角度来看,我们已经到了攻击者意识到开源供应链攻击面的全部潜力的地步。
“我预计开源供应链攻击将进一步演变为攻击者,其目标不仅是窃取受害者的信用卡,还窃取受害者的工作场所凭据,例如 GitHub 帐户,并从那里瞄准软件供应链攻击的更大头奖,“ 他说。
这将包括访问工作场所私有代码存储库的能力,能够在冒充受害者的同时贡献代码,在企业级软件中植入后门等等。
“组织可以通过适当地强制他们的开发人员使用双因素身份验证来保护自己,教育他们的软件开发人员不要假设流行的开源软件包看起来有很多下载或明星是安全的,”哈鲁什补充道,“并且要警惕可疑软件包中的活动。”