LofyGang utilise des centaines de packages NPM malveillants pour empoisonner les logiciels open source
Le groupe de menaces LofyGang utilise plus de 200 packages NPM malveillants avec des milliers d’installations pour voler des données de carte de crédit et des comptes de jeu et de streaming, avant de diffuser des informations d’identification volées et du butin dans des forums de piratage souterrains.
Selon un rapport de Checkmarx, le groupe de cyberattaques est opérationnel depuis 2020, infectant les chaînes d’approvisionnement open source avec des packages malveillants dans le but de militariser les applications logicielles.
L’équipe de recherche pense que le groupe pourrait avoir des origines brésiliennes, en raison de l’utilisation du portugais brésilien et d’un fichier appelé « brazil.js ». qui contenait des logiciels malveillants trouvés dans quelques-uns de leurs packages malveillants.
Le rapport détaille également la tactique du groupe consistant à divulguer des milliers de comptes Disney + et Minecraft à une communauté de piratage souterraine utilisant l’alias DyPolarLofy et à promouvoir leurs outils de piratage via GitHub.
« Nous avons vu plusieurs classes de charges utiles malveillantes, des voleurs de mots de passe généraux et des logiciels malveillants persistants spécifiques à Discord ; certains étaient intégrés dans le package, et certains téléchargeaient la charge utile malveillante pendant l’exécution à partir de serveurs C2 », a noté le rapport de vendredi.
LofyGang opère en toute impunité
Le groupe a déployé des tactiques telles que le typosquatting, qui cible les erreurs de frappe dans la chaîne d’approvisionnement open source, ainsi que « StarJacking », dans lequel l’URL du dépôt GitHub du package est liée à un projet GitHub légitime non lié.
« Les gestionnaires de packages ne valident pas l’exactitude de cette référence, et nous voyons des attaquants en profiter en déclarant que le référentiel Git de leur package est légitime et populaire, ce qui peut faire croire à la victime qu’il s’agit d’un package légitime en raison de son soi-disant popularité », indique le rapport.
L’omniprésence et le succès des logiciels open source en ont fait une cible idéale pour les acteurs malveillants comme LofyGang, explique Jossef Harush, responsable du groupe d’ingénierie de la sécurité de la chaîne d’approvisionnement de Checkmarx.
Il considère que les principales caractéristiques de LofyGang incluent sa capacité à créer une grande communauté de pirates, à abuser de services légitimes en tant que serveurs de commande et de contrôle (C2) et à ses efforts pour empoisonner l’écosystème open source.
Cette activité se poursuit même après que trois rapports différents de Sonatype, Securelist et jFrog ont découvert les efforts malveillants de LofyGang.
« Ils restent actifs et continuent de publier des packages malveillants dans le domaine de la chaîne d’approvisionnement logicielle », dit-il.
En publiant ce rapport, Harush dit espérer sensibiliser à l’évolution des attaquants, qui construisent désormais des communautés avec des outils de piratage open source.
« Les attaquants comptent sur les victimes pour ne pas prêter suffisamment attention aux détails », ajoute-t-il. « Et honnêtement, même moi, avec des années d’expérience, je tomberais potentiellement dans le piège de certaines de ces astuces car elles semblent être des packages légitimes à l’œil nu. »
Open Source non conçu pour la sécurité
Harush souligne que malheureusement l’écosystème open source n’a pas été conçu pour la sécurité.
« Bien que n’importe qui puisse s’inscrire et publier un package open source, aucun processus de vérification n’est en place pour vérifier si le package contient du code malveillant », dit-il.
Un rapport récent de la société de sécurité logicielle Snyk et de la Linux Foundation a révélé qu’environ la moitié des entreprises ont mis en place une politique de sécurité des logiciels open source pour guider les développeurs dans l’utilisation des composants et des frameworks.
Cependant, le rapport a également révélé que ceux qui ont mis en place de telles politiques présentent généralement une meilleure sécurité. Google met à disposition son processus de vérification et de correction des logiciels pour les problèmes de sécurité afin d’aider à fermer les voies aux pirates.
« Nous voyons des attaquants en profiter car il est très facile de publier des packages malveillants », explique-t-il. « Le manque de pouvoirs de vérification pour déguiser les packages pour qu’ils apparaissent légitimes avec des images volées, des noms similaires, ou même faire référence aux sites Web d’autres projets Git légitimes juste pour voir qu’ils obtiennent le nombre d’étoiles des autres projets sur leurs pages de packages malveillants. »
Vers des attaques de la chaîne d’approvisionnement ?
Du point de vue de Harush, nous atteignons le point où les attaquants réalisent le plein potentiel de la surface d’attaque de la chaîne d’approvisionnement open source.
« Je m’attends à ce que les attaques de la chaîne d’approvisionnement open source évoluent davantage vers des attaquants visant à voler non seulement la carte de crédit de la victime, mais également les informations d’identification de la victime sur le lieu de travail, comme un compte GitHub, et à partir de là, viser les plus gros jackpots des attaques de la chaîne d’approvisionnement logicielle. , » il dit.
Cela inclurait la possibilité d’accéder aux référentiels de codes privés d’un lieu de travail, avec la possibilité de contribuer au code tout en se faisant passer pour la victime, d’implanter des portes dérobées dans des logiciels de niveau entreprise, et plus encore.
« Les organisations peuvent se protéger en appliquant correctement à leurs développeurs une authentification à deux facteurs, en éduquant leurs développeurs de logiciels à ne pas supposer que les packages open source populaires sont sûrs s’ils semblent avoir de nombreux téléchargements ou étoiles », ajoute Harush, « et à être vigilants aux suspects. activités dans les progiciels.