{"id":402517,"date":"2022-10-07T16:40:29","date_gmt":"2022-10-07T18:40:29","guid":{"rendered":"https:\/\/teknomers.com\/fr\/lofygang-a-distribue-environ-200-packages-npm-malveillants-pour-voler-les-donnees-de-carte-de-credit\/"},"modified":"2022-10-07T16:40:30","modified_gmt":"2022-10-07T18:40:30","slug":"lofygang-a-distribue-environ-200-packages-npm-malveillants-pour-voler-les-donnees-de-carte-de-credit","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/lofygang-a-distribue-environ-200-packages-npm-malveillants-pour-voler-les-donnees-de-carte-de-credit\/","title":{"rendered":"LofyGang a distribu\u00e9 environ 200 packages NPM malveillants pour voler les donn\u00e9es de carte de cr\u00e9dit"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Plusieurs campagnes qui ont distribu\u00e9 des packages contenant des chevaux de Troie et typosquatt\u00e9s sur le r\u00e9f\u00e9rentiel open source NPM ont \u00e9t\u00e9 identifi\u00e9es comme le travail d&#8217;un seul acteur de menace surnomm\u00e9 <strong>LofyGang<\/strong>.<\/p>\n<p>Checkmarx a d\u00e9clar\u00e9 avoir d\u00e9couvert 199 packages malveillants totalisant des milliers d&#8217;installations, le groupe op\u00e9rant depuis plus d&#8217;un an dans le but de voler des donn\u00e9es de carte de cr\u00e9dit ainsi que des comptes d&#8217;utilisateurs associ\u00e9s \u00e0 Discord Nitro, des services de jeux et de streaming.<\/p>\n<p>&#8220;Les op\u00e9rateurs de LofyGang sont vus promouvoir leurs outils de piratage dans les forums de piratage, tandis que certains des outils sont livr\u00e9s avec une porte d\u00e9rob\u00e9e cach\u00e9e&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 logicielle dans un rapport partag\u00e9 avec The Hacker News avant sa publication.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Diverses pi\u00e8ces du puzzle de l&#8217;attaque ont d\u00e9j\u00e0 \u00e9t\u00e9 rapport\u00e9es par JFrog, <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sonatype.com\/malicious-npm-colors-typosquats-pack-discord-malware\" target=\"_blank\">Sonatype<\/a>et Kaspersky (qui l&#8217;appelait LofyLife), mais la derni\u00e8re analyse rassemble les diff\u00e9rentes op\u00e9rations sous un m\u00eame parapluie organisationnel que Checkmarx appelle <a rel=\"nofollow noopener\" href=\"https:\/\/lofygang.info\/\" target=\"_blank\">LofyGang<\/a>.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Logiciel malveillant LofyGang NPM\" border=\"0\" data-original-height=\"445\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/1665168029_915_LofyGang-a-distribue-environ-200-packages-NPM-malveillants-pour-voler.jpg\" title=\"Logiciel malveillant LofyGang NPM\" \/><\/div>\n<p>Consid\u00e9r\u00e9s comme un groupe criminel organis\u00e9 d&#8217;origine br\u00e9silienne, les attaquants ont l&#8217;habitude d&#8217;utiliser des comptes de marionnettes pour faire la publicit\u00e9 de leurs outils et services sur <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/PolarLofy\" target=\"_blank\">GitHub<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/www.youtube.com\/c\/PolarLofy1\/about\" target=\"_blank\">Youtube<\/a>et la fuite de milliers de comptes Disney + et Minecraft sur des forums de piratage souterrains.<\/p>\n<p>Il est \u00e9galement connu d&#8217;utiliser un serveur Discord cr\u00e9\u00e9 il y a pr\u00e8s d&#8217;un an, le 31 octobre 2021, pour fournir un support technique et communiquer avec leurs membres.  L&#8217;une de ses principales offres est un service qui vend de faux abonn\u00e9s Instagram.<\/p>\n<p><iframe loading=\"lazy\" title=\"LofyGang - Connecting The Dots\" width=\"640\" height=\"360\" src=\"https:\/\/www.youtube.com\/embed\/MPNMy-ep46s?feature=oembed\" frameborder=\"0\" allow=\"accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" allowfullscreen><\/iframe><\/p>\n<p>&#8220;Discord, Repl.it, glitch, GitHub et Heroku ne sont que quelques-uns des services que LofyGang utilise comme [command-and-control] serveurs pour leur fonctionnement \u00bb, ont not\u00e9 les chercheurs.<\/p>\n<p>De plus, il a \u00e9t\u00e9 d\u00e9couvert que les packages frauduleux remontant au groupe int\u00e8grent des voleurs de mots de passe et des logiciels malveillants sp\u00e9cifiques \u00e0 Discord, dont certains sont con\u00e7us pour voler des cartes de cr\u00e9dit.<\/p>\n<p>Pour dissimuler l&#8217;ampleur de l&#8217;attaque de la cha\u00eene d&#8217;approvisionnement, les packages sont intentionnellement publi\u00e9s via diff\u00e9rents comptes d&#8217;utilisateurs afin que les autres biblioth\u00e8ques militaris\u00e9es ne soient pas affect\u00e9es sur les r\u00e9f\u00e9rentiels, m\u00eame si l&#8217;une d&#8217;entre elles est rep\u00e9r\u00e9e et supprim\u00e9e par les responsables.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>De plus, l&#8217;adversaire a \u00e9t\u00e9 trouv\u00e9 en utilisant une technique sournoise dans laquelle le package de niveau sup\u00e9rieur est exempt de logiciels malveillants mais le fait d\u00e9pendre d&#8217;un autre package qui introduit les fonctionnalit\u00e9s malveillantes.<\/p>\n<p>Ce n&#8217;est pas tout.  M\u00eame les outils de piratage partag\u00e9s par LofyGang sur GitHub d\u00e9pendent de packages malveillants, agissant en fait comme un conduit pour d\u00e9ployer des portes d\u00e9rob\u00e9es persistantes sur les machines de l&#8217;op\u00e9rateur.<\/p>\n<p>Les r\u00e9sultats sont une autre indication que les acteurs de la menace se tournent de plus en plus vers l&#8217;\u00e9cosyst\u00e8me open source comme point de d\u00e9part pour \u00e9largir la port\u00e9e et l&#8217;efficacit\u00e9 des attaques.<\/p>\n<p>&#8220;Des communaut\u00e9s se forment autour de l&#8217;utilisation de logiciels open source \u00e0 des fins malveillantes&#8221;, ont conclu les chercheurs.  &#8220;Nous pensons que c&#8217;est le d\u00e9but d&#8217;une tendance qui va s&#8217;accentuer dans les mois \u00e0 venir.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/lofygang-distributed-200-malicious-npm.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Plusieurs campagnes qui ont distribu\u00e9 des packages contenant des chevaux de Troie et typosquatt\u00e9s sur le r\u00e9f\u00e9rentiel open source NPM ont \u00e9t\u00e9 identifi\u00e9es comme le travail d&#8217;un seul acteur de menace surnomm\u00e9 LofyGang. Checkmarx a d\u00e9clar\u00e9 avoir d\u00e9couvert 199 packages malveillants totalisant des milliers d&#8217;installations, le groupe op\u00e9rant depuis plus d&#8217;un an dans le but [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":402519,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[938,4168,49,4158,4165,4161,18690,1343,12580,4157,4159,4171,4170,65,115073,4167,4590,4160,4163,4162,7310,7309,185,4172,4169,4166,8394,4164],"class_list":["post-402517","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-carte","tag-comment-pirater","tag-credit","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-distribue","tag-donnees","tag-environ","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-lofygang","tag-logiciel-malveillant-de-ransomware","tag-malveillants","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-npm","tag-packages","tag-pour","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-voler","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/402517","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=402517"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/402517\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/402519"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=402517"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=402517"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=402517"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}