LofyGang tehdit grubu, çalıntı kimlik bilgilerini ve yer altı bilgisayar korsanlığı forumlarında yağmalamadan önce kredi kartı verilerini ve oyun ve akış hesaplarını çalmak için binlerce kurulumla 200’den fazla kötü amaçlı NPM paketi kullanıyor.
Checkmarx’ın bir raporuna göre, siber saldırı grubu 2020’den beri faaliyet gösteriyor ve yazılım uygulamalarını silahlandırmak amacıyla açık kaynak tedarik zincirlerine kötü amaçlı paketler bulaştırıyor.
Araştırma ekibi, Brezilya Portekizcesi ve “brazil.js” adlı bir dosyanın kullanılması nedeniyle grubun Brezilya kökenli olabileceğine inanıyor. birkaç kötü amaçlı paketinde bulunan kötü amaçlı yazılımları içeriyordu.
Rapor ayrıca grubun binlerce Disney+ ve Minecraft hesabını DyPolarLofy takma adını kullanarak bir yeraltı bilgisayar korsanlığı topluluğuna sızdırma ve bilgisayar korsanlığı araçlarını GitHub aracılığıyla tanıtma taktiğini de detaylandırıyor.
“Birkaç kötü amaçlı yük sınıfı, genel parola hırsızı ve Discord’a özgü kalıcı kötü amaçlı yazılım gördük; bazıları paketin içine yerleştirildi ve bazıları çalışma zamanı sırasında kötü amaçlı yükü C2 sunucularından indirdi,” Cuma raporu kayıt edilmiş.
LofyGang Cezasız Kalıyor
Grup, açık kaynak tedarik zincirindeki yazım hatalarını hedefleyen yazım hatası ve paketin GitHub repo URL’sinin alakasız bir meşru GitHub projesine bağlı olduğu “StarJacking” gibi taktikler uyguladı.
“Paket yöneticileri bu referansın doğruluğunu onaylamıyor ve saldırganların paketlerinin Git deposunun meşru ve popüler olduğunu belirterek bundan yararlandığını görüyoruz, bu da kurbanı, sözde popülerlik,” rapor belirtti.
Checkmarx’ın tedarik zinciri güvenlik mühendisliği grubunun başkanı Jossef Harush, açık kaynaklı yazılımın her yerde bulunması ve başarısının onu LofyGang gibi kötü niyetli aktörler için olgun bir hedef haline getirdiğini açıklıyor.
LofyGang’ın temel özelliklerini, büyük bir hacker topluluğu oluşturma yeteneği, komuta ve kontrol (C2) sunucuları olarak meşru hizmetleri kötüye kullanma ve açık kaynak ekosistemini zehirleme çabaları olarak görüyor.
Bu aktivite, üç farklı rapordan sonra bile devam eder. sonatip, güvenli listeve jFrog – LofyGang’ın kötü niyetli çabalarını ortaya çıkardı.
“Etkin kalıyorlar ve yazılım tedarik zinciri arenasında kötü amaçlı paketler yayınlamaya devam ediyorlar” diyor.
Harush, bu raporu yayınlayarak, şu anda açık kaynaklı hack araçlarıyla topluluklar oluşturan saldırganların evrimi hakkında farkındalık yaratmayı umduğunu söylüyor.
“Saldırganlar, kurbanların ayrıntılara yeterince dikkat etmemesine güveniyorlar” diye ekliyor. “Ve dürüst olmak gerekirse, yılların deneyimine sahip ben bile, çıplak gözle meşru paketler gibi göründüğü için bu hilelerden bazılarına potansiyel olarak düşecektim.”
Açık Kaynak Güvenlik İçin Oluşturulmamıştır
Harush, ne yazık ki açık kaynak ekosisteminin güvenlik için inşa edilmediğine dikkat çekiyor.
“Herkes açık kaynaklı bir pakete kaydolup yayınlayabilirken, paketin kötü amaçlı kod içerip içermediğini kontrol etmek için herhangi bir inceleme süreci mevcut değil” diyor.
Yazılım güvenliği firması Snyk ve Linux Vakfı’nın yakın tarihli bir raporu, firmaların yaklaşık yarısının geliştiricilere bileşenlerin ve çerçevelerin kullanımında rehberlik etmek için açık kaynaklı bir yazılım güvenlik politikasına sahip olduğunu ortaya koydu.
Ancak rapor, bu tür politikalara sahip olanların genellikle daha iyi güvenlik sergilediklerini de ortaya çıkardı – Google, bilgisayar korsanlarına yolların kapanmasına yardımcı olmak için güvenlik sorunları için yazılımları inceleme ve yamalama sürecini kullanıma sunuyor.
“Saldırganların bundan yararlandığını görüyoruz çünkü kötü amaçlı paketler yayınlamak çok kolay” diye açıklıyor. “Paketlerin çalıntı görüntülerle, benzer adlarla yasal görünmesini sağlamak ve hatta diğer projelerin yıldızlarını kötü niyetli paket sayfalarında aldıklarını görmek için diğer meşru Git projelerinin web sitelerine atıfta bulunmak için yetkilendirme yetkilerinin olmaması.”
Tedarik Zinciri Saldırılarına Doğru mu Gidiliyor?
Harush’un bakış açısından, saldırganların açık kaynak tedarik zinciri saldırı yüzeyinin tüm potansiyelini fark ettiği bir noktaya ulaşıyoruz.
“Açık kaynak tedarik zinciri saldırılarının, yalnızca kurbanın kredi kartını değil, aynı zamanda kurbanın GitHub hesabı gibi işyeri kimlik bilgilerini çalmayı ve oradan daha büyük yazılım tedarik zinciri saldırılarını hedefleyen saldırganlara dönüşmesini bekliyorum. ,” diyor.
Bu, kurbanın kimliğine bürünürken koda katkıda bulunma, kurumsal sınıf yazılımlara arka kapılar yerleştirme ve daha fazlası ile bir iş yerinin özel kod havuzlarına erişme yeteneğini içerir.
“Kuruluşlar, geliştiricilerini iki faktörlü kimlik doğrulama ile düzgün bir şekilde zorlayarak kendilerini koruyabilir, yazılım geliştiricilerini, çok sayıda indirme veya yıldıza sahip olduklarında popüler açık kaynak paketlerinin güvenli olduğunu varsaymamaları konusunda eğitebilir,” diye ekliyor Harrush, “ve şüpheli durumlara karşı tetikte olmak. yazılım paketlerindeki faaliyetler.”