LofyGang distribue 199 paquets NPM trojanisés pour voler des données.
La société de sécurité logicielle Checkmarx a découvert les activités malveillantes de l'acteur de la menace LofyGang, qui distribue des paquets trojanisés et typosquattés sur le référentiel open source NPM.
Les chercheurs en sécurité ont découvert 199 paquets malveillants avec des milliers d'installations au total. L'objectif de la campagne est de voler les données de cartes de crédit et les comptes d'utilisateurs liés à Discord Nitro, aux jeux et aux services de streaming, ont-ils déclaré.
Alors que le gang mène cette attaque malveillante depuis plus d'un an, les chercheurs en sécurité, notamment JFrog, Sonatype et Kaspersky, ont pu identifier de nombreuses parties de l'opération du gang. Le rapport de Checkmarx a toutefois réussi à les regrouper sous un même toit.
Selon le rapport de Checkmarx, l'attaquant serait un groupe criminel d'origine brésilienne. Les attaquants utilisent des comptes de marionnettes de quai pour promouvoir leurs outils et services sur GitHub, YouTube. Ils sont également connus pour avoir divulgué des milliers de comptes Disney+ et Minecraft sur des forums de pirates clandestins.
Le gang utilise un serveur Discord mis en place le 31 octobre 2021 pour fournir un support technique et communiquer avec les membres.
"Les opérateurs de LofyGang font la promotion de leurs outils de piratage sur des forums de piratage, et certains de ces outils sont livrés avec une porte dérobée cachée. Discord, Repl.it, glitch, GitHub et Heroku ne sont que quelques services utilisés par LofyGang comme serveurs [de commande et de contrôle] pour leurs opérations", ont déclaré les chercheurs.
Les paquets frauduleux utilisés par les attaquants contiennent des voleurs de mots de passe et des logiciels malveillants spécifiques à Discord, dont certains sont conçus pour le vol de cartes de crédit. Les paquets malveillants sont diffusés par le biais de différents comptes d'utilisateur, de sorte que les autres bibliothèques militarisées présentes sur les dépôts restent intactes même si l'une d'entre elles est détectée et supprimée, ce qui permet de dissimuler l'attaque sur la chaîne d'approvisionnement.
Les attaquants utilisent également une technique insidieuse qui permet au paquet de premier niveau de ne pas contenir de logiciels malveillants, mais qui dépend d'un autre paquet qui introduit les capacités malveillantes. Les outils de piratage partagés de LofyGang dépendent également de paquets malveillants qui servent de canal pour installer des portes dérobées persistantes sur les machines de l'opérateur.
Les sources de cet article comprennent un article de TheHackerNews.