Flere kampagner, der distribuerede trojanske pakker på NPM open source er blevet identificeret som arbejdet i en enkelt hackergruppe kaldet LofyGang.
Checkmarx sagde, at det opdagede 199 potentielt ødelæggende pakker på i alt tusindvis af installationer, hvor gruppen fungerede i over et år med det formål at stjæle kreditkortdata samt brugerkonti forbundet med Discord Nitro, spil og streamingtjenester.
“LofyGang-operatører ses promovere deres hackingværktøjer i hackingfora, mens nogle af værktøjerne sendes via en skjult bagdør,” siger softwaresikkerhedsfirmaet i en rapport, der blev delt med The Hacker News inden offentliggørelsen.
Forskellige brikker i angrebspuslespillet er allerede blevet rapporteret af JFrog, Sonatype og Kaspersky (som kaldte det LofyLife), men den seneste analyse trækker de forskellige operationer sammen under en organisatorisk paraply, som Checkmarx refererer til som LofyGang.
Hackerne menes at være en organiseret kriminel gruppe af brasiliansk oprindelse og har en track record for at bruge sokkedukkekonti til at annoncere deres værktøjer og tjenester på GitHub, YouTube og lække tusindvis af Disney+ og Minecraft-konti på underjordiske hackingfora.
Det er også kendt at anvende en Discord-server, der blev oprettet for næsten et år siden den 31. oktober 2021, til at yde teknisk support og kommunikere med deres medlemmer. Et af dets vigtigste tilbud er en tjeneste, der sælger falske Instagram-tilhængere.
“Discord, Repl.it, glitch, GitHub og Heroku er blot nogle få tjenester, LofyGang bruger som [kommando-og-kontrol] servere til deres drift,” bemærkede analytikerne.
Hvad mere er, de falske pakker, der spores tilbage til gruppen, har vist sig at integrere adgangskodestjælere og Discord-specifik malware, hvoraf nogle er designet til at stjæle kreditkort.
For at skjule omfanget af forsyningskædeangrebet offentliggøres pakkerne med vilje via forskellige brugerkonti, så andre våbenbaserede biblioteker forbliver upåvirket på arkiverne, selvom en af dem opdages og fjernes af vedligeholderne.
Desuden er modstanderen blevet fundet ved hjælp af en lusket teknik, hvor pakken på øverste niveau holdes fri for malware, men har den afhængig af en anden pakke, der introducerer de ødelæggende muligheder.
Det er ikke alt. Selv de hackingsværktøjer, der deles af LofyGang på GitHub, afhænger af ødelæggende pakker, der effektivt fungerer som en kanal til at implementere vedvarende bagdøre på operatørens maskiner.
Resultaterne er endnu en indikation på, at hackerne i stigende grad sætter deres syn på open source-økosystemet som et springbræt til at udvide omfanget og effektiviteten af angrebene.
“Fællesskaber bliver dannet omkring at bruge open source-software til ødelæggende formål,”Forskerne konkluderede. “Vi tror, at dette er starten på en tendens, der vil stige i de kommende måneder.”
Kilde: TheHackerNews
Foto: Pexels