10/10/22
Исследователи из ИБ-компании Checkmarx обнаружили крупную киберпреступную сеть группировки LofyGang, передают в Securitylab. Участники группы "бесплатно" раздают хакерские инструменты и npm пакеты другим злоумышленникам и пользователям Discord. Однако, за эти услуги взимается скрытая плата в виде учетных и банковских данных.
Исследователи обнаружили не менее 200 вредоносных npm пакетов , загруженных на официальный сайт npm с помощью различных sockpuppet аккаунтов (виртуалов). Вредоносные npm пакеты имитируют легитимные пакеты, которые помогают пользователям взаимодействовать с API Discord.
Названия вредоносных пакетов схожи с именами популярных пакетов, но содержат слабозаметные орфографические ошибки. Группа также связывает свои npm пакеты с активными и доверенными репозиториями GitHub, чтобы повысить доверие к своим пакетам на веб-сайте npm. Пользователь при поиске настоящего пакета может найти вредоносный пакет, не заметить опечатку и в конечном итоге установить вредоносный пакет. Мошеннические npm служат для кражи учетных записей пользователя и банковских учетных данных.
Эти пакеты не содержат в себе вредоносный код, а зависят от вторичных пакетов, в которых встроен вредоносный код. Это означает, что исходные вредоносные пакеты с меньшей вероятностью будут отмечены вредоносными и удалены с веб-сайта npm.
Если одна из вредоносных зависимостей обнаруживается и удаляется, злоумышленник просто загружает новую зависимость и отправляет обновление исходного пакета, загруженного пользователем, предписывая ему полагаться на эту новую вредоносную зависимость.
Помимо вредоносных npm пакетов, LofyGang распространяет на GitHub вредоносные инструменты для взлома, также содержащие вредоносные зависимости, которые крадут учетные данные аккаунта и банковской карты.
LofyGang продвигает эти инструменты на различных платформах, включая YouTube, где группа выкладывает учебные пособия по этим инструментам.
Также группа распространяет инструменты в своем Discord сервере, который работает с 2021 года и осуществляет помощь с использованием инструментов группировки.
На сервере также есть бот, который предоставляет пользователям бесплатную подписку на Discord Nitro, используя украденные учетные данные кредитных карт других жертв. Однако, чтобы использовать бота, нужно передать свои учетные данные Discord, которые, вероятно, тоже будут украдены группой.
