Plusieurs campagnes qui ont distribué des packages contenant des chevaux de Troie et typosquattés sur le référentiel open source NPM ont été identifiées comme le travail d’un seul acteur de menace surnommé LofyGang.

Checkmarx a déclaré avoir découvert 199 packages malveillants totalisant des milliers d’installations, le groupe opérant depuis plus d’un an dans le but de voler des données de carte de crédit ainsi que des comptes d’utilisateurs associés à Discord Nitro, des services de jeux et de streaming.

« Les opérateurs de LofyGang sont vus promouvoir leurs outils de piratage dans les forums de piratage, tandis que certains des outils sont livrés avec une porte dérobée cachée », a déclaré la société de sécurité logicielle dans un rapport partagé avec The Hacker News avant sa publication.

Diverses pièces du puzzle de l’attaque ont déjà été rapportées par JFrog, Sonatypeet Kaspersky (qui l’appelait LofyLife), mais la dernière analyse rassemble les différentes opérations sous un même parapluie organisationnel que Checkmarx appelle LofyGang.

Considérés comme un groupe criminel organisé d’origine brésilienne, les attaquants ont l’habitude d’utiliser des comptes de marionnettes pour faire la publicité de leurs outils et services sur GitHub, Youtubeet la fuite de milliers de comptes Disney + et Minecraft sur des forums de piratage souterrains.

Il est également connu d’utiliser un serveur Discord créé il y a près d’un an, le 31 octobre 2021, pour fournir un support technique et communiquer avec leurs membres. L’une de ses principales offres est un service qui vend de faux abonnés Instagram.

« Discord, Repl.it, glitch, GitHub et Heroku ne sont que quelques-uns des services que LofyGang utilise comme [command-and-control] serveurs pour leur fonctionnement », ont noté les chercheurs.

De plus, il a été découvert que les packages frauduleux remontant au groupe intègrent des voleurs de mots de passe et des logiciels malveillants spécifiques à Discord, dont certains sont conçus pour voler des cartes de crédit.

Pour dissimuler l’ampleur de l’attaque de la chaîne d’approvisionnement, les packages sont intentionnellement publiés via différents comptes d’utilisateurs afin que les autres bibliothèques militarisées ne soient pas affectées sur les référentiels, même si l’une d’entre elles est repérée et supprimée par les responsables.

De plus, l’adversaire a été trouvé en utilisant une technique sournoise dans laquelle le package de niveau supérieur est exempt de logiciels malveillants mais le fait dépendre d’un autre package qui introduit les fonctionnalités malveillantes.

Ce n’est pas tout. Même les outils de piratage partagés par LofyGang sur GitHub dépendent de packages malveillants, agissant en fait comme un conduit pour déployer des portes dérobées persistantes sur les machines de l’opérateur.

Les résultats sont une autre indication que les acteurs de la menace se tournent de plus en plus vers l’écosystème open source comme point de départ pour élargir la portée et l’efficacité des attaques.

« Des communautés se forment autour de l’utilisation de logiciels open source à des fins malveillantes », ont conclu les chercheurs. « Nous pensons que c’est le début d’une tendance qui va s’accentuer dans les mois à venir. »