LofyGang: Atacantes de la cadena de suministro de software

Con el descubrimiento de 200 paquetes maliciosos con miles de instalaciones vinculadas a un grupo de ataque llamado “LofyGang”, Checkmarx alertó a la comunidad deusuarios de Internet. Dicho grupo, ha estado operando durante más de un año con múltiples objetivos de piratería, entre los que se encuentran:

  • Robar información de tarjetas de crédito.

  • Robar las actualizaciones “Nitro” (premium) de Discord.

  • Robar cuentas de servicios de transmisión (por ejemplo, Disney+), cuentas de Minecraft y más.

Además se ha observado a los operadores de LofyGang promocionando sus herramientas de piratería en foros, mientras que algunas de las herramientas se envían con una puerta trasera oculta. Los hallazgos de la empresa experta se divulgaron a los equipos de seguridad de GitHub, NPM, Repl.it, Discord y más. Hace apenas dos meses, en agosto de 2022, los investigadores encontraron un par de paquetes maliciosos de LofyGang por lo que inmediatamente comenzaron a investigar y cruzar el IOC utilizando herramientas internas de retro-caza. Lo que reveló más y más conexiones a otros paquetes. Algunos de los paquetes estaban vinculados a informes de Sonatype, SecureList y jFrog, pero cada informe era una pequeña pieza del gran rompecabezas.

El servidor Discord de LofyGang fue creado hace un año, el 31 de octubre de 2021, y parece ser el principal canal de comunicación entre los administradores del grupo y sus miembros. En este servidor de Discord, se puede encontrar soporte técnico para las herramientas de piratería del grupo, un grupo de memes oscuros y un bot responsable de regalar actualizaciones de Discord Nitro.

Contribuciones a Cracked.io

El grupo está contribuyendo a una comunidad clandestina de piratas informáticos bajo el alias DyPolarLofy, donde filtran miles de cuentas de Disney+ y Minecraft, promocionan sus herramientas de piratería en GitHub, sus bots y más.

Además, parece que la principal oferta de LofyGang, en esta comunidad clandestina de hackers, es vender seguidores falsos de Instagram. Esto conecta con algunos de los perfiles de paquetes maliciosos; por ejemplo, el paquete “fetch-string” está vinculado a la cuenta de Instagram “victorjxl”, que parecía ser una cuenta con seguidores falsos.

Tutoriales de YouTube

LofyGang tiene un canal de YouTube con contenido de autopromoción, como tutoriales en video que muestran cómo usar sus herramientas de piratería. Su canal tiene casi 4k suscriptores.

El grupo aloja herramientas de pirateo en la cuenta PolarLofy de GitHub. Sus repositorios de código abierto ofrecen herramientas y bots para Discord, como:

  • Spam de Discord

  • Robo de contraseñas

  • Generador Nitro

  • Eliminador de chat

Modificar la aplicación Discord instalada

Se vio que algunos de los paquetes maliciosos del grupo modificaban la instancia instalada de Discord, con ganchos para robar tarjetas de crédito enviados a través del webhook de Discord directamente a los atacantes cada vez que se realizaba un pago.

“Se están formando comunidades en torno a la utilización de software de código abierto con fines maliciosos. Creemos que este es el comienzo de una tendencia que se incrementará en los próximos meses. Creemos en compartir y trabajar juntos para mantener el ecosistema seguro”, finalizó Jossef Harush Kadouri, jefe del grupo de ingeniería de seguridad de la cadena de suministro de Checkmarx.

Fuente: Checkmarx/CanalesTI, ACM.