bad-actor

「LofyGang」脅威アクターは、NPM や GitHub などのコード ホスティング プラットフォームで 200 の悪意のあるパッケージと偽のハッキング ツールを配布することで、資格情報を盗む企業を作成しました。

Kaspersky、Jfrog、および Sonatype による最近のレポートで、研究者はこれらのパッケージのいくつかを強調しました。

悪意のあるパッケージの多くは報告されて削除されていますが、これを書いている時点ではまだダウンロード可能なものもあります。 GitHub には、悪意のある LofyGang パッケージを検索して追跡するための専用プロジェクトもあります。

Checkmarx による新しいレポートは、LofyGang の活動をマッピングし、攻撃者の目標、規模、および実際の影響について明確かつ幅広い視点を提供しようとしています。

LofyGang のオンライン プレゼンスの概要
LofyGang のオンライン プレゼンスの概要(Checkmarx)

大規模な資格情報の盗難操作

Checkmarx は、この脅威グループの広範なオンライン プレゼンスを観察することで、彼らがクレジット カード データ、Discord の「Nitro」認証情報、および Disney+ や Minecraft などのストリーミングおよびゲーム サービスのアカウントを盗むことに関心があると推測しました。

そのため、LofyGang は金銭的利益を動機として、大量のアカウント侵害を達成し、ダーク Web、ハッキング フォーラム、および Discord のさまざまなプライベート チャネルでそれらのアカウントへのアクセスを転売することを目指しています。

侵害されたアカウントをハッキング フォーラムで販売するギャング
ハッキング フォーラム(Checkmarx)で侵害されたアカウントを販売するギャング

このグループは、ハッキング ツールの使用方法に関するビデオ チュートリアルをホストする YouTube チャンネルも運営しており、そのうちの 2 つが 1 万ビューを超えています。

LofyGang の YouTube チャンネル
LofyGang の YouTube チャンネル

Discord チャンネルは 1 年前に作成され、グループのハッキング ツール オペレーターにガイダンスとサポートを提供し、プロモーション用の Discord Nitro プレゼントなどを開催しました。

LofyGang の Discord チャンネル
LofyGang の Discord チャンネル(Checkmarx)

「Lofy Boost」という名前の Discord のボットを使用すると、チャネル メンバーは、ユーザーに代わって盗まれたクレジット カードを使用して Nitro を購入できます。ボットはユーザー トークンも受け取りますが、これは詐欺師が後で悪用する可能性があります。

盗まれたクレジット カードの隠し場所は、 NPM サプライ チェーンへの感染と、バックドアを備えた複雑なハッキング ツールを GitHub にプッシュすることによってもたらされました。

NPM の多くは、Discord 開発パッケージまたは色、文字列、およびファイル操作のパッケージになりすます。無料のハッキング ツールは、ハッカーが集まってお互いから学ぶ傾向があるフォーラムで宣伝されています。

ギャングが GitHub で宣伝しているツールには、Discord スパマー、Nitro ジェネレーター、パスワード スティーラー、Discord トークン グラバー、Discord Webhook 隠蔽モジュールなどがあります。

ハッキング ツールをプッシュする GitHub リポジトリ
ハッキング ツールをプッシュする GitHub リポジトリ

LofyGang の主な Discord マルウェアは、感染したシステム上の Discord アプリの正規バージョンを悪意のあるバージョンに変更し、ユーザーが定期購入の支払いを行うたびにクレジット カード情報を吸い上げます。

ほとんどの場合、マルウェアはメイン パッケージに含まれていません。代わりに、依存関係としてフェッチされるため、ツールのオペレーターは詐欺に遭ったことに気付く可能性が低く、ホスティング プラットフォームはそれらを削除しません。

さらに、LofyGang は 50 を超えるアカウントを使用して NPM パッケージをアップロードし、悪意のある操作を可能な限り断片化して、大規模なテイクダウンを回避します。

回避/削除する必要があるパッケージの完全なリストについては、 Checkmarx が GitHub のリストをまとめました