Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
LofyGang verteilt 199 trojanisierte NPM-Pakete, um Daten zu stehlen
17. Oktober 2022. TuxCare PR Team
Das Software-Sicherheitsunternehmen Checkmarx hat die bösartigen Aktivitäten des Bedrohungsakteurs LofyGang aufgedeckt, der trojanisierte und typosquatted Pakete über das Open-Source-Repository NPM verbreitet.
Sicherheitsforscher entdeckten 199 betrügerische Pakete mit insgesamt Tausenden von Installationen. Das Ziel der Kampagne ist es, Kreditkartendaten und Benutzerkonten im Zusammenhang mit Discord Nitro, Spielen und Streaming-Diensten zu stehlen, so die Forscher.
Während die Bande den bösartigen Angriff seit über einem Jahr durchführt, konnten Sicherheitsforscher wie JFrog, Sonatype und Kaspersky zahlreiche Teile der Operation der Bande identifizieren. Der Bericht von Checkmarx war jedoch in der Lage, sie unter einen Hut zu bringen.
Laut dem Checkmarx-Bericht handelt es sich bei den Angreifern vermutlich um eine kriminelle Gruppe brasilianischer Herkunft. Die Angreifer nutzen Dock-Puppet-Konten, um ihre Tools und Dienste auf GitHub und YouTube zu bewerben. Sie sind auch dafür bekannt, dass sie Tausende von Disney+- und Minecraft-Konten in Untergrund-Hackerforen geleakt haben.
Die Gang nutzt einen Discord-Server, der am 31. Oktober 2021 eingerichtet wurde, um technischen Support zu leisten und mit den Mitgliedern zu kommunizieren.
"Die Betreiber von LofyGang werben in Hackerforen für ihre Hacking-Tools, die teilweise mit einer versteckten Backdoor ausgeliefert werden. Discord, Repl.it, Glitch, GitHub und Heroku sind nur einige der Dienste, die LofyGang als [Befehls- und Kontroll-]Server für seine Operationen nutzt", so die Forscher.
Die von den Angreifern verwendeten betrügerischen Pakete enthalten Passwortdiebe und Discord-spezifische Malware, von denen einige für den Kreditkartendiebstahl konzipiert sind. Die bösartigen Pakete werden über verschiedene Benutzerkonten veröffentlicht, so dass andere waffenfähige Bibliotheken in den Repositories unberührt bleiben, selbst wenn eine von ihnen entdeckt und entfernt wird, was dazu beiträgt, den Angriff auf die Lieferkette zu verbergen.
Die Angreifer verwenden auch eine heimtückische Technik, bei der das oberste Paket frei von Malware bleibt, was jedoch von einem anderen Paket abhängt, das die bösartigen Funktionen einführt. Die gemeinsam genutzten Hacking-Tools von LofyGang sind ebenfalls von bösartigen Paketen abhängig, die als Kanal für die Installation dauerhafter Hintertüren auf den Rechnern der Betreiber dienen.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.
