기술 지원
문서
로그인
문의하기
데이터를 훔치기 위해 199개의 트로이 목마 NPM 패키지를 배포한 LofyGang
2022년 10월 17일 TuxCare 홍보팀
소프트웨어 보안 회사인 Checkmarx는 NPM 오픈 소스 리포지토리에 트로이 목마 및 오타 스쿼트 패키지를 배포하는 위협 행위자 LofyGang의 악의적인 활동을 발견했습니다.
보안 연구원들은 총 수천 건의 설치가 이루어진 199개의 악성 패키지를 발견했습니다. 이 캠페인의 목적은 Discord Nitro, 게임 및 스트리밍 서비스와 관련된 신용카드 데이터와 사용자 계정을 훔치는 것이라고 밝혔습니다.
이 조직이 1년 넘게 악의적인 공격을 수행하는 동안 JFrog, Sonatype, Kaspersky를 비롯한 보안 연구원들은 이 조직의 운영에서 수많은 부분을 식별할 수 있었습니다. 하지만 Checkmarx의 보고서 양식을 통해 이 모든 것을 하나의 우산 아래 모을 수 있었습니다.
Checkmarx 보고서에 따르면 공격자는 브라질 출신의 범죄 집단으로 추정됩니다. 공격자는 도크 퍼핏 계정을 사용하여 GitHub, YouTube에서 도구와 서비스를 홍보합니다. 또한 언더그라운드 해커 포럼에서 수천 개의 디즈니+ 및 마인크래프트 계정을 유출한 것으로 알려져 있습니다.
이 갱은 기술 지원을 제공하고 회원들과 소통하기 위해 2021년 10월 31일에 설정된 Discord 서버를 사용합니다.
"로피갱 운영자들은 해킹 포럼에서 해킹 툴을 홍보하고 있으며, 일부 툴은 숨겨진 백도어와 함께 제공되기도 합니다. 디스코드, 레플잇, 글리치, 깃허브, 헤로쿠는 로피갱이 운영을 위한 [명령 및 제어] 서버로 사용하는 몇 가지 서비스일 뿐입니다."라고 연구원들은 말합니다.
공격자가 사용하는 사기성 패키지에는 비밀번호 도용 프로그램과 Discord 관련 멀웨어가 포함되어 있으며, 이 중 일부는 신용카드 도용을 위해 설계되었습니다. 악성 패키지는 여러 사용자 계정을 통해 배포되기 때문에 저장소에 있는 다른 무기화된 라이브러리 중 하나가 탐지되어 제거되더라도 그대로 유지되므로 공급망에 대한 공격을 숨기는 데 도움이 됩니다.
공격자들은 또한 최상위 패키지에 멀웨어를 포함하지 않는 교묘한 기술을 사용하지만, 이는 악성 기능을 도입하는 다른 패키지에 따라 달라집니다. 로피갱의 공유 해킹 툴은 또한 운영자의 컴퓨터에 영구 백도어를 설치하는 채널 역할을 하는 악성 패키지에 의존합니다.
이 글의 출처는 TheHackerNews의 기사입니다.
