Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
LofyGang distribuye 199 paquetes NPM troyanizados para robar datos
17 de octubre de 2022 - Equipo de Relaciones Públicas de TuxCare
La empresa de seguridad de software Checkmarx ha descubierto las actividades maliciosas del actor de amenazas LofyGang, que distribuye paquetes troyanizados y typosquatted en el repositorio de código abierto NPM.
Los investigadores de seguridad descubrieron 199 paquetes fraudulentos con miles de instalaciones en total. El objetivo de la campaña es robar datos de tarjetas de crédito y cuentas de usuario relacionadas con Discord Nitro, juegos y servicios de streaming, dijeron.
Aunque la banda lleva más de un año llevando a cabo el ataque malicioso, investigadores de seguridad como JFrog, Sonatype y Kaspersky han podido identificar numerosas partes de la operación de la banda. Sin embargo, el informe de Checkmarx ha sido capaz de agruparlas bajo un mismo paraguas.
Según el informe de Checkmarx, se cree que el atacante es un grupo criminal de origen brasileño. Los atacantes utilizan cuentas de dock puppet para promocionar sus herramientas y servicios en GitHub, YouTube. También se sabe que han filtrado miles de cuentas de Disney+ y Minecraft en foros clandestinos de hackers.
La banda utiliza un servidor Discord creado el 31 de octubre de 2021 para proporcionar asistencia técnica y comunicarse con los miembros.
"Los operadores de LofyGang promocionan sus herramientas de hacking en foros de hacking y algunas de ellas incluyen una puerta trasera oculta. Discord, Repl.it, glitch, GitHub y Heroku son solo algunos de los servicios que LofyGang utiliza como servidores [de mando y control] para sus operaciones", afirman los investigadores.
Los paquetes fraudulentos utilizados por los atacantes contienen ladrones de contraseñas y malware específico de Discord, algunos de los cuales están diseñados para el robo de tarjetas de crédito. Los paquetes maliciosos se liberan a través de diferentes cuentas de usuario, de modo que otras bibliotecas armadas de los repositorios permanecen intactas aunque se detecte y elimine una de ellas, lo que ayuda a ocultar el ataque a la cadena de suministro.
Los atacantes también utilizan una técnica insidiosa que mantiene el paquete de nivel superior libre de malware, pero éste depende de otro paquete que introduce las capacidades maliciosas. Las herramientas de hacking compartidas de LofyGang también dependen de paquetes maliciosos que actúan como canal para instalar puertas traseras persistentes en las máquinas del operador.
Las fuentes de este artículo incluyen un artículo en TheHackerNews.
