Une enquête récente de Checkmarx, société américaine de cybersécurité, a dévoilé des conclusions peu rassurantes sur les chaines mondiales d’approvisionnement logiciel. Ses chercheurs ont identifié environ 200 paquets malveillants avec des milliers d'installations liées au groupe pirate LofyGang. Certains codes étaient intégrés aux paquets logiciels alors que d’autres téléchargeaient la charge utile à partir des serveurs C2.
"La recrudescence des récentes attaques de la chaîne d'approvisionnement logicielle à code source ouvert nous apprend que les cyberattaquants ont compris que l'écosystème à code open source est un moyen facile d'accroître l'efficacité de leurs attaques. Des communautés se forment autour de l'utilisation de logiciels à code open source à des fins malveillantes. Nous pensons que c'est le début d'une tendance qui va s'accentuer dans les mois à venir." a indiqué Checkmarx.
L'enquête montre une organisation professionnelle de LofyGang. Cette recherche a porté sur le serveur Discord de LofyGang, créé le 31 octobre 2021. Ce canal de communication comprend un support technique pour les outils de piratage du groupe, un groupe de mèmes, à savoir une image virale pour transmettre des messages via les réseaux sociaux ainsi qu’un bot destiné à la mise à jour de Discord Nitro. Ce serveur héberge également des outils de piratage sous le compte GitHub "PolarLofy", tandis que ses dépôts open source proposent des outils et des bots pour Discord.
Les chercheurs de Checkmarx ont observé que les opérateurs de LofyGang publient des messages sur une communauté clandestine sous le nom de "DyPolarLofy", où ils font fuir des milliers de comptes Disney+ et Minecraft et promeuvent leurs outils et robots de piratage.
LofyGang possède aussi sa propre chaîne YouTube qui promeut des démonstrations sur l'utilisation de ses outils de piratage.
Un groupe de pirates originaires du Brésil
Les chercheurs de Checkmarx pensent que le groupe est originaire du Brésil en raison de l'utilisation de phrases en portugais brésilien et de la découverte d'un fichier appelé " brazil.js ", qui contenait des logiciels malveillants trouvés dans quelques-uns de ses paquets malveillants.En septembre 2022, Sonatype, spécialiste américain de la chaine logistique logicielle, a signalé une augmentation de 700 % des paquets malveillants dans divers dépôts de logiciels libres au cours de l'année écoulée. Le même mois, le Microsoft Threat Intelligence Center (MSTIC) a publié un avis indiquant que des acteurs de la menace associés à la Corée du Nord avaient été repérés en train d'utiliser des logiciels open-source légitimes pour cibler les employés d'organisations de plusieurs secteurs. Checkmarx a communiqué ses conclusions aux équipes de sécurité de GitHub, NPM, Repl.it, Discord et autres. L’utilisation de code Open Source doit être considérée comme un vecteur potentiel de cyberisque.