LofyGang分发约200个恶意NPM包以窃取信用卡数据

在NPM开源存储库上分发特洛伊木马程序和排版软件包的多个活动已被确定为一个被称为LofyGang公司.

Checkmarx表示，它发现了199个恶意软件包，共计数千个安装，该集团运营了一年多，目标是窃取信用卡数据以及与Discord Nitro、游戏和流媒体服务相关的用户帐户。

该软件安全公司在发布前与《黑客新闻》分享的一份报告中表示：“LofyGang运营商在黑客论坛上宣传他们的黑客工具，而其中一些工具带有隐藏的后门”。

JFrog、Sonatype和Kaspersky（他们称之为LofyLife）已经报道了各种各样的攻击谜题，但最新的分析将各种行动集中在一个组织伞下，Checkmarx称之为“LofyGang”。

据信，攻击者是一个来自巴西的有组织犯罪集团，他们有使用袜子木偶账号在GitHub、YouTube上宣传其工具和服务的记录，并在地下黑客论坛上泄露了数千个Disney+和Minecraft账号。

众所周知，它还使用了近一年前2021 10月31日创建的Discord服务器，以提供技术支持并与其成员进行通信。其主要服务之一是销售假冒Instagram粉丝的服务。

研究人员指出：“Discord、Repl.it、glitch、GitHub和Heroku只是LofyGang用作其操作的（命令和控制）服务器的少数服务”。

更重要的是，追踪到该组织的欺诈软件包被发现嵌入了密码窃取器和Discord特定的恶意软件，其中一些被设计用于窃取信用卡。

为了掩盖供应链攻击的规模，这些包是通过不同的用户帐户故意发布的，这样即使其中一个被维护人员发现并删除，其他武器化的库也不会受到存储库的影响。

此外，已经使用一种偷偷摸摸的技术发现了对手，其中顶级包没有恶意软件，但它依赖于引入恶意功能的另一个包。

这还不是全部。即使是LofyGang在GitHub上共享的黑客工具也依赖于恶意软件包，有效地充当了在运营商机器上部署持久后门的管道。

这些发现再次表明，恶意行为体越来越多地将目光投向开源生态系统，以此作为扩大其针对下游客户的攻击范围和有效性的一个切入点。

研究人员总结道：“围绕着利用开源软件进行恶意目的，社区正在形成”。“我们认为，这是未来几个月将增加的趋势的开始”。