Grupa hakerów o nazwie LofyGang w ciągu ostatniego roku rozprowadziła około dwustu złośliwych pakietów NPM, które zostały pobrane i zainstalowane tysiące razy. Amerykańska organizacja Checkmarx zajmująca się bezpieczeństwem oprogramowania odkryła i podjęła się analizy sprawy.
O LofyGang
LofyGang to zorganizowana grupa przestępcza pochodząca najpewniej z Brazylii i zajmująca się kradzieżami i udostępnianiem danych skradzionych kart płatniczych. Nie jest to jednak jedyna forma działalności gangu. Grupa specjalizuje się także w przejmowaniu kont premium Discord, kont przypisanych do usług streamingowych (np. Disney+) itp.
Zaobserwowano, że grupa korzysta z wielu publicznych usług chmurowych celem tworzenia centrów dowodzenia i kontroli (C&C). Są to m.in. Discord, GitHub, glitch, Heroku i Repl.it, Tam tworzone są fałszywe konta przy wykorzystaniu ograniczonego słownika imion takich jak: lofy, life, polar, panda, kakau, evil, devil i vilão (port. złoczyńca, łotr).
Działalność grupy
Serwer Discord LofyGang powstał około rok temu, końcem października 2021 roku. Wydaje się on być głównym kanałem komunikacji między administratorami grupy a ich członkami. Na serwerze można uzyskać m.in. wsparcie techniczne dla narzędzi hakerskich grupy. Ponadto grupa działa także na GitHub jako PolarLofy, gdzie oferuje liczne narzędzia dla Discorda. Są to m.in. spamer, złodziej haseł, czy narzędzie do czyszczenia czatów. W społeczności cracked[.]io gang oferuje głównie sprzedaż fałszywych obserwatorów na Instagramie.
LofyGang posiada również kanał YouTube z treściami autopromocyjnymi, takimi jak samouczki wideo pokazujące, jak korzystać z narzędzi hakerskich. Kanał zgromadził niemal 4 tys. subskrybentów.
Typosquatting i starjacking
Typosquatting to technika stosowana powszechnie przy atakach na łańcuch dostaw open source. Typosquatter wykorzystuje błędy pisarskie takie jak np. “falsk” zamiast “flask“, co prowadzi do przypadkowej instalacji złośliwego pakietu. Zwykle równolegle z typosquattingiem występuje starjacking. Jest to łączenie adresu URL repozytorium GitHub złośliwego pakietu z niepowiązanym, jednak legalnym projektem GitHub. W wyniku takiego linkowania, witryny internetowe, takie jak PyPi, wyświetlają statystyki pobrane z połączonej strony GitHub, co tworzy fałszywe poczucie legalności. W ten sposób w ciągu ostatniego roku LofyGang opublikował blisko 200 zainfekowanych pakietów open source i zaraził tysiące użytkowników. Checkmarx jest zdania, że cyberprzestępcy atakują za pomocą szkodliwych pakietów nawet użytkowników swoich produktów.
Podsumowanie
Odkrycia są kolejnym dowodem na to, że cyberprzestępcy w coraz większym stopniu skupiają się na ekosystemie open source jako punkcie wyjścia do poszerzenia zakresu i skuteczności swoich ataków. Z czasem także rozrastają się społeczności skupione wokół tego tematu. Cybermarx podsumowują swój raport stwierdzeniem, że najpewniej jest to początek niebezpiecznego trendu, który w najbliższym czasie będzie się nasilał.
Źródło: Checkmarx.com
Redaktorka Net Complex Blog