LofyGang 组织利用200个恶意NPM包投毒开源软件

Nathan Eddy 代码卫士 2022-11-01

收录于合集

#供应链安全 201 个

#SCA 49 个

#开源 302 个

聚焦源代码安全，网罗国内外最新资讯！

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

摘要

LofyGang 威胁组织正在使用200个恶意NPM包窃取信用卡、游戏和流账号，之后在地下黑市出售。

Checkmarx 公司发布报告指出，LofyGang 组织自2020年起就在运营，通过恶意包感染开源供应链，以武器化应用程序。研究人员认为该组织可能源自巴西，因为它使用巴西葡萄牙语并有一个文件为 “brazil.js”，其中包含在恶意包中发现的恶意软件。

该报告还详述称，LofyGang组织通过DyPolarLofy的名义将数千个Disney+和Minecraft账户泄露在黑客论坛上，并通过GitHub推销黑客工具。报告指出，“我们看到多个恶意payload类、通用密码窃取工具和特定于Discord的持续性恶意软件；一些内嵌在程序包中，一些是在运行时阶段从C2服务器下载恶意payload。”

逍遥法外

LofyGang组织部署了多种技术如typosquatting，即针对开源供应链中的输入错误，以及 “StarJacking”即该程序包的GitHub仓库URL与不想管的合法GitHub项目关联。

报告提到，“包管理器不会验证该引用的准确性，我们发现攻击者正是利用这一点，声明包的Git仓库是合法且流行的，从而可能诱骗受害者以流行度作为判断，认为这些包是合法包。”

研究人员指出，开源软件的流行度和成功使其成为LofyGang这类恶意组织的成熟目标。LofyGang组织的关键特征包括能够构造一个大的黑客社区、滥用合法服务作为命令和控制服务器以及投毒开源生态系统。即使此前已存在关于该组织的三份其它报告，然而该组织仍未收手，“他们仍然活跃并持续在软件供应链领域发布恶意包”。

研究人员指出，发布该报告的目的是提醒人们注意攻击者的演变，攻击者目前正在通过开源黑客工具构建社区，“攻击者依赖的是受害者对细节关注不够。坦白讲，即使我具有多年经验，仍然会落入其中一些陷阱，因为肉眼来看它们就像合法包。”

开源并未内建安全

研究人员指出，遗憾的是，开源生态系统并未构筑安全，“任何人都能够申请并发布开源包，并不存在审计流程检查该包中是否存在恶意代码”。

Snyk 公司和Linux基金会发布报告称，约一半的企业都部署了开源软件安全策略，用于引导开发人员使用组件和架构。然而，该报告也发现部署这些策略的企业一般安全性更佳，如谷歌正在推出审计和打补丁流程，减少黑客攻击渠道。

研究人员指出，“我们发现攻击者利用了这一点，因为发布恶意包超级容易。缺少审计，导致攻击者通过被盗镜像、类似名称甚至引用其它合法Git项目的网站获得这些项目的star数量，假冒程序包。”

意在供应链攻击？

研究人员认为，LofyGang组织目前到达了攻击者意识到开源供应链攻击面完整潜力的点。

他指出，“我认为开源供应链攻击进一步演变到攻击者不仅意在窃取受害者的信用卡，还会窃取受害者的工作凭据如GitHub账户，之后会发动更大规模的软件供应链攻击”，包括访问受害者工作单位的私有代码仓库、假冒受害者贡献代码、在企业级软件中插入后门等。

研究人员认为，“组织机构可通过多种方式进行防护，如强制开发人员使用双因素认证机制、教育软件开发人员不要通过开源包的流行度和star数量来假设包就是安全的，以及时刻警惕软件包中的可疑活动”。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读