LofyGang Group Linked to Recent Software Supply Chain Attacks
2022/10/07 InfoSecurity — Checkmarx の最新調査により、ソフトウェア・サプライチェーンに対する注目すべきサイバー・インシデントの大半に、1年以上前から活動している攻撃グループ LofyGang が関与していることが判明した。研究者たちは、LofyGang に関連する約 200の悪意のパッケージと数千のインストーラを発見した。これらのパッケージには、いくつかのクラスに分類される悪意のペイロード/一般的なパスワード窃盗ツール/Discord 専用の永続的マルウェアなどが含まれていたという。
Checkmarx は、「パッケージの中に組み込まれているものもあれば、ランタイムで C2 サーバからダウンロードする悪意のペイロードもあった」と述べている。
Sonatype/Jfrog/Securelist による2022年の3種類のインシデント・レポートにも、それらのパッケージの一部が記録されているが、Checkmarx は、「この大きなパズルの小さな一片に過ぎない」と述べている。
Checkmarx のチームは、インターネット上での LofyGang の活動を調査した結果として、盗んだクレジットカード/ゲーム/ストリーミング・サービスのアカウントなどの、窃取と公開に焦点を当てた組織犯罪グループであると結論付けた。
この調査では、2021年10月31日に作成された、LofyGang の Discord サーバに焦点が当てられている。このコミュニケーション・チャネルには、同グループのハッキング・ツールの技術サポート/ダークミームのグループ/Discord Nitro のアップデート・プレゼントを担当する専用ボットなどが含まれる。
また、GitHub アカウント PolarLofy の下でハッキング・ツールをホストしており、そのオープンソース・リポジトリでは、Discord 用のツールやボットが提供されている。
研究者たちは、LofyGang のオペレーターが DyPolarLofy という別名で、アンダーグラウンドのハッキング・コミュニティに投稿し、何千もの Disney+/Minecraft のアカウントをリークし、ハッキング・ツールやボットを宣伝しているのを確認した。
LofyGang は、独自の YouTube チャンネルも所有しており、ハッキング・ツールの使い方を実演するコンテンツなどを宣伝している。
研究者たちは、ブラジル系のポルトガル語が使われていることや、その悪質なパッケージの一部として、マルウェアを含む brazil.js というファイルが見つかったことから、このグループの起源はブラジルだと見ているという。
2022年9月には Sonatype が、各種オープンソース・リポジトリにおいて、この一年で悪意のパッケージが 700% も増加したこと公表している。また同月には、Microsoft Threat Intelligence Center (MSTIC) が、北朝鮮に関連する脅威アクターが、複数の業界の組織の従業員をターゲットに、正規のオープンソース・ソフトウェアを武器化しているとするアドバイザリを発表している。
Checkmarx は、「最近のオープンソース・サプライチェーン攻撃の急増は、オープンソースのエコシステムの悪用が、攻撃の効果を高める簡単な方法であることに、サイバー攻撃者が気づいたことを示している。オープンソース・ソフトウェアを悪用するコミュニティが形成されてきたが、それは、今後の数カ月で増加する前兆だと考えている」と結論付けている。同社は、GitHub/NPM/Repl.it/Discord などのセキュリティ・チームに対して、調査結果を開示したと付け加えている。
LofyGang という名前は、このブログでは初登場ですが、この種のリポジトリを狙うサイバー攻撃では、背後に存在する脅威アクターが不明だというケースが多いように思えます。たとえば、Discord にも関連する 8月17日の「PyPI に悪意のパッケージ:Discord を改ざんしてパスワードなどを盗み出す」では、scaredcoder という PyPI ユーザーが、悪意のパッケージをアップロードしたとされていますが、そこまでし分からないという状況です。ひょっとすると、このインシデントにも、LofyGang が絡んでいるのかもしれません。よろしければ、Repository で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.