“LofyGang”威胁参与者通过在 NPM 和 GitHub 等代码托管平台上分发 200 个恶意程序包和伪造的黑客工具,创建了一个窃取凭据的企业。
研究人员在 Kaspersky、Jfrog 和 Sonatype 最近的报告中强调了其中一些包,他们在使用拼写错误的包名称进行供应链攻击时发现了这些包。
许多恶意程序包已被报告并删除,而在撰写本文时其他恶意程序包仍可供下载。甚至还有一个专门的项目可以 在 GitHub 上搜索和跟踪恶意 LofyGang 包。
Checkmarx 的一份新报告试图描绘 LofyGang 的行动,并就威胁参与者的目标、规模和实际影响提供清晰而广泛的视角。
大规模的凭据盗窃行动
通过观察该威胁组织广泛的在线存在,Checkmarx 推断他们对窃取信用卡数据、Discord “Nitro”凭据以及流媒体和游戏服务帐户(例如 Disney+ 和 Minecraft)感兴趣。
因此,LofyGang 受到经济利益的驱使,旨在实现大量帐户入侵,然后在暗网、黑客论坛和 Discord 的各种私人渠道上转售这些帐户的访问权限。
该组织还经营一个 YouTube 频道,提供有关如何使用其黑客工具的视频教程,其中两个频道的观看次数已超过 1 万次。
Discord 频道于一年前创建,为该组织的黑客工具操作员提供指导和支持,举办促销 Discord Nitro 赠品等。
频道成员可以使用 Discord 上的一个名为“Lofy Boost”的机器人代表用户使用被盗的信用卡购买 Nitro。该机器人还接收用户令牌,骗子以后可能会滥用这些令牌。
被盗信用卡的藏匿来自 NPM 供应链感染 ,以及通过在 GitHub 上推送捆绑和后门的黑客工具,技术水平较低的网络犯罪分子免费获取和使用这些工具。
许多 NPM 模拟 Discord 开发包或颜色、字符串和文件操作包。免费的黑客工具在黑客倾向于聚集和互相学习的论坛上推广。
该团伙在 GitHub 上推广的一些工具是 Discord 垃圾邮件发送器、Nitro 生成器、密码窃取器、Discord 令牌抓取器和 Discord webhook 隐藏模块。
LofyGang 的主要 Discord 恶意软件使用恶意版本修改受感染系统上的 Discord 应用程序的合法版本,该恶意版本会在用户每次支付订阅费用时窃取信用卡信息。
在大多数情况下,恶意软件不包含在主包中。相反,它是作为依赖项获取的,因此他们工具的操作员不太可能意识到他们被骗了,托管平台也不会删除它们。
此外,LofyGang 使用 50 多个账号上传 NPM 包,尽可能将其恶意操作碎片化,以规避大规模下架。
对于应避免/删除的软件包的完整列表,Checkmarx 编译了 GitHub 列表。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » LofyGang黑客在Discord、NPM上建立了一个凭据窃取企业
