Plusieurs campagnes qui ont distribué des packages contenant des chevaux de Troie et des typosquats sur le référentiel open source NPM ont été identifiées comme le travail d’un seul acteur de la menace appelé LofyGang.
Checkmarx a déclaré avoir détecté 199 paquets malveillants totalisant des milliers d’installations, le groupe opérant depuis plus d’un an dans le but de voler des données de carte de crédit ainsi que des comptes d’utilisateurs liés à Discord Nitro, des jeux et des services de streaming.
“Les opérateurs de LofyGang sont vus promouvoir leurs outils de piratage dans les forums de piratage, tandis que certains outils sont livrés avec une porte dérobée cachée”, a déclaré la société de sécurité logicielle dans un rapport partagé avec The Hacker News avant sa publication.
Différentes parties du puzzle de l’attaque ont déjà été signalées par JFrog, Sonatype et Kaspersky (qui l’appelaient LofyLife), mais la dernière analyse rassemble les différentes opérations sous un même parapluie organisationnel que Checkmarx appelle LofyGang.
Considérés comme un groupe criminel organisé d’origine brésilienne, les attaquants ont l’habitude d’utiliser des comptes de marionnettes pour annoncer leurs outils et services sur GitHub, YouTube, et de divulguer des milliers de comptes Disney+ et Minecraft sur des forums de piratage souterrains.
Il est également connu d’utiliser un serveur Discord créé il y a près d’un an, le 31 octobre 2021, pour fournir un support technique et communiquer avec leurs membres. L’une des principales offres est un service qui vend de faux abonnés Instagram.
« Discord, Repl.it, glitch, GitHub et Heroku ne sont que quelques services utilisés par LofyGang [command-and-control] serveurs pour leur fonctionnement », ont noté les chercheurs.
De plus, il a été découvert que les packages frauduleux remontant au groupe intègrent des voleurs de mots de passe et des logiciels malveillants spécifiques à Discord, dont certains sont conçus pour voler des cartes de crédit.
Pour masquer la portée de l’attaque de la chaîne d’approvisionnement, les packages sont intentionnellement publiés via différents comptes d’utilisateurs afin que les autres bibliothèques militarisées ne soient pas affectées dans les référentiels même si l’une d’entre elles est découverte et supprimée par les responsables.
De plus, il a été constaté que l’adversaire utilise une technique sournoise où le package de niveau supérieur est exempt de logiciels malveillants, mais s’appuie sur un autre package qui introduit les propriétés malveillantes.
Ce n’est pas tout. Même les outils de piratage partagés par LofyGang sur GitHub s’appuient sur des packages malveillants, agissant efficacement comme un conduit pour déployer des portes dérobées persistantes sur les machines de l’opérateur.
Les résultats sont une autre indication que les acteurs malveillants se tournent de plus en plus vers l’écosystème open source comme un tremplin pour étendre la portée et l’efficacité de leurs attaques ciblant les clients en aval.
“Les communautés se forment autour de l’utilisation de logiciels open source à des fins malveillantes”, ont conclu les chercheurs. “Nous pensons que c’est le début d’une tendance qui va s’accentuer dans les mois à venir.”
