Varias campañas que distribuyeron paquetes con troyanos y errores tipográficos en el repositorio de código abierto de NPM se identificaron como el trabajo de un solo actor de amenazas denominado LofyGang.
Checkmarx dijo que descubrió 199 paquetes maliciosos con un total de miles de instalaciones, con el grupo operando durante más de un año con el objetivo de robar datos de tarjetas de crédito, así como cuentas de usuarios asociadas con Discord Nitro, juegos y servicios de transmisión.
«Se ve a los operadores de LofyGang promocionando sus herramientas de piratería en foros de piratería, mientras que algunas de las herramientas se envían con una puerta trasera oculta», dijo la compañía de seguridad de software en un informe compartido con The Hacker News antes de su publicación.
JFrog ya ha informado sobre varias piezas del rompecabezas del ataque, Sonatipoy Kaspersky (que lo llamó LofyLife), pero el último análisis reúne las diversas operaciones bajo un paraguas organizacional al que Checkmarx se refiere como LofyGang.
Se cree que es un grupo del crimen organizado de origen brasileño, los atacantes tienen un historial de uso de cuentas de títeres de calcetines para anunciar sus herramientas y servicios en GitHub, Youtubey la filtración de miles de cuentas de Disney+ y Minecraft en foros clandestinos de hacking.
También se sabe que emplea un servidor Discord creado hace casi un año, el 31 de octubre de 2021, para brindar soporte técnico y comunicarse con sus miembros. Una de sus principales ofertas es un servicio que vende seguidores falsos de Instagram.
«Discord, Repl.it, glitch, GitHub y Heroku son solo algunos de los servicios que LofyGang está usando como [command-and-control] servidores para su funcionamiento», anotaron los investigadores.
Además, se descubrió que los paquetes fraudulentos rastreados hasta el grupo incorporan ladrones de contraseñas y malware específico de Discord, algunos de los cuales están diseñados para robar tarjetas de crédito.
Para ocultar la escala del ataque a la cadena de suministro, los paquetes se publican intencionalmente a través de diferentes cuentas de usuario para que otras bibliotecas armadas no se vean afectadas en los repositorios, incluso si los mantenedores detectan y eliminan una de ellas.
Además, se ha encontrado al adversario utilizando una técnica furtiva en la que el paquete de nivel superior se mantiene libre de malware pero depende de otro paquete que introduce las capacidades maliciosas.
Eso no es todo. Incluso las herramientas de piratería compartidas por LofyGang en GitHub dependen de paquetes maliciosos, actuando efectivamente como un conducto para implementar puertas traseras persistentes en las máquinas del operador.
Los hallazgos son otra indicación de que los actores de amenazas están poniendo cada vez más su mirada en el ecosistema de código abierto como un punto de partida para ampliar el alcance y la efectividad de los ataques.
«Se están formando comunidades en torno a la utilización de software de código abierto con fines maliciosos», concluyeron los investigadores. «Creemos que este es el comienzo de una tendencia que aumentará en los próximos meses».