Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

Как хакеры используют Discord, YouTube и GitHub в ходе массовой кражи учетных данных

10/10/22

hrk26i9jnngkldt38u2n1r4ts1n1wqnu

Исследователи из ИБ-компании Checkmarx обнаружили крупную киберпреступную сеть группировки LofyGang, передают в Securitylab. Участники группы "бесплатно" раздают хакерские инструменты и npm пакеты другим злоумышленникам и пользователям Discord. Однако, за эти услуги взимается скрытая плата в виде учетных и банковских данных.

Исследователи обнаружили не менее 200 вредоносных npm пакетов , загруженных на официальный сайт npm с помощью различных sockpuppet аккаунтов (виртуалов). Вредоносные npm пакеты имитируют легитимные пакеты, которые помогают пользователям взаимодействовать с API Discord.

Названия вредоносных пакетов схожи с именами популярных пакетов, но содержат слабозаметные орфографические ошибки. Группа также связывает свои npm пакеты с активными и доверенными репозиториями GitHub, чтобы повысить доверие к своим пакетам на веб-сайте npm. Пользователь при поиске настоящего пакета может найти вредоносный пакет, не заметить опечатку и в конечном итоге установить вредоносный пакет. Мошеннические npm служат для кражи учетных записей пользователя и банковских учетных данных.

Эти пакеты не содержат в себе вредоносный код, а зависят от вторичных пакетов, в которых встроен вредоносный код. Это означает, что исходные вредоносные пакеты с меньшей вероятностью будут отмечены вредоносными и удалены с веб-сайта npm.

Если одна из вредоносных зависимостей обнаруживается и удаляется, злоумышленник просто загружает новую зависимость и отправляет обновление исходного пакета, загруженного пользователем, предписывая ему полагаться на эту новую вредоносную зависимость.

Помимо вредоносных npm пакетов, LofyGang распространяет на GitHub вредоносные инструменты для взлома, также содержащие вредоносные зависимости, которые крадут учетные данные аккаунта и банковской карты.

LofyGang продвигает эти инструменты на различных платформах, включая YouTube, где группа выкладывает учебные пособия по этим инструментам.

Также группа распространяет инструменты в своем Discord сервере, который работает с 2021 года и осуществляет помощь с использованием инструментов группировки.

На сервере также есть бот, который предоставляет пользователям бесплатную подписку на Discord Nitro, используя украденные учетные данные кредитных карт других жертв. Однако, чтобы использовать бота, нужно передать свои учетные данные Discord, которые, вероятно, тоже будут украдены группой.

Темы:ПреступленияGitHubnpmDiscordCheckmarx
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...