‘LofyGang’ tehdit aktörleri, NPM ve GitHub gibi kod barındırma platformlarında 200 kötü amaçlı paket ve sahte bilgisayar korsanlığı araçları dağıtarak kimlik bilgilerini çalan bir kuruluş yarattı.
Araştırmacılar, bu paketlerin bazılarını Kaspersky, Jfrog ve Sonatype’ın yakın tarihli raporlarında vurguladılar ve bunları tedarik zinciri saldırılarında yazım hatası yapılmış paket adları kullanarak tespit ettiler.
Kötü amaçlı paketlerin çoğu rapor edildi ve kaldırıldı, diğerleri ise bu yazı yazılırken hala indirilebilir durumda. için özel bir proje bile var. kötü niyetli LofyGang paketlerini arayın ve izleyin GitHub’da.
Checkmarx tarafından hazırlanan yeni bir rapor, LofyGang’ın operasyonunun haritasını çıkarmaya ve tehdit aktörünün hedefleri, boyutu ve gerçek etkisi hakkında net ve geniş bir bakış açısı sağlamaya çalışıyor.
Büyük ölçekli bir kimlik bilgisi hırsızlığı operasyonu
Tehdit grubunun kapsamlı çevrimiçi varlığını gözlemleyen Checkmarx, kredi kartı verilerini, Discord “Nitro” kimlik bilgilerini ve Disney+ ve Minecraft gibi akış ve oyun hizmetleri hesaplarını çalmakla ilgilendikleri sonucuna vardı.
Bu nedenle, LofyGang, yüksek hacimli hesap uzlaşmasını sağlamayı ve ardından bu hesaplara erişimi dark web, hack forumları ve Discord’daki çeşitli özel kanallarda yeniden satmayı amaçlayan finansal kârla motive olur.
Grup ayrıca, hack araçlarının nasıl kullanılacağına ilişkin video eğitimlerini barındıran bir YouTube kanalı da işletiyor ve ikisi 10 bin izlenmeyi aşmış durumda.
.png)
Discord kanalı bir yıl önce oluşturuldu, grubun bilgisayar korsanlığı aracı operatörlerine rehberlik ve destek sunuyor, promosyonel Discord Nitro eşantiyonları ve daha fazlasını sunuyor.
Discord’da “Lofy Boost” adlı bir bot, kanal üyeleri tarafından kullanıcı adına çalıntı bir kredi kartı kullanarak Nitro satın almak için kullanılabilir. Bot ayrıca, dolandırıcıların daha sonra kötüye kullanabileceği kullanıcı jetonlarını da alır.
Çalınan kredi kartlarının zulası geliyor NPM tedarik zinciri enfeksiyonları ve daha az yetenekli siber suçluların ücretsiz olarak alıp kullandığı GitHub’daki bağcıklı ve arka kapılı korsanlık araçlarını kullanarak.
NPM’lerin çoğu, renk, dizeler ve dosya işlemleri için Discord geliştirme paketlerini veya paketlerini taklit eder. Ücretsiz bilgisayar korsanlığı araçları, bilgisayar korsanlarının bir araya gelip birbirlerinden bir şeyler öğrendiği forumlarda tanıtılır.
Çete tarafından GitHub’da tanıtılan araçlardan bazıları, bir Discord spam göndericisi, bir Nitro oluşturucu, bir parola hırsızı, bir Discord belirteci kapma ve bir Discord web kancası gizleme modülüdür.
LofyGang’ın ana Discord kötü amaçlı yazılımı, etkilenen sistemdeki Discord uygulamasının yasal sürümünü, kullanıcının abonelik için her ödeme yaptığında kredi kartı bilgilerini sifonlayan kötü amaçlı bir sürümle değiştirir.
Çoğu durumda, kötü amaçlı yazılım ana pakete dahil değildir. Bunun yerine, bir bağımlılık olarak getirilir, bu nedenle araçlarının operatörlerinin dolandırıldıklarını fark etme olasılıkları daha düşüktür ve barındırma platformları bunları kaldırmaz.
Ek olarak, LofyGang, NPM paketlerini yüklemek için 50’den fazla hesap kullanır ve büyük ölçekli yayından kaldırmalardan kaçınmak için kötü niyetli operasyonlarını mümkün olduğunca parçalara ayırır.
Kaçınılması/kaldırılması gereken paketlerin tam listesi için, Checkmarx, GitHub’ın bir listesini derledi.