Checkmarx descubrió 200 paquetes maliciosos con miles de instalaciones vinculadas a un grupo de ataque llamado “LofyGang”, que ha operado durante más de un año con múltiples objetivos.
En un comunicado, la firma de ciberseguridad detalló que el grupo se ha concentrado en el robo de información de tarjetas de crédito y actualizaciones Nitro —la versión de paga— de Discord, así como cuentas de servicios de streaming, (como Disney+), de Minecraft y más.
La empresa con sede en Atlanta señaló que los operadores de LofyGang han promocionado sus herramientas en foros, mientras que algunas de ellas se envían con una puerta trasera oculta.
Incluso, advirtió, de un canal de YouTube, que suma más de 4,000 suscriptores, con contenido de autopromoción, como tutoriales en video que muestran cómo usar sus herramientas y un servidor Discord, creado el 31 de octubre de 2021.
Según Checkmarx, en este servidor, que parece ser el principal canal de comunicación entre los administradores del grupo y sus miembros, se puede encontrar soporte técnico, un grupo de memes oscuros y un bot responsable de regalar actualizaciones de Discord Nitro.
El grupo también aloja herramientas de pirateo en la cuenta PolarLofy de GitHub. Sus repositorios de código abierto ofrecen herramientas y bots para Discord, como spam, robo de contraseñas, generador Nitro, eliminador de chat y modificar la aplicación Discord instalada
Se vio que algunos de los paquetes maliciosos del grupo modificaban la instancia instalada de Discord, con ganchos para robar tarjetas de crédito enviados a través del webhook de Discord directamente a los atacantes cada vez que se realizaba un pago.
Comunidades, una nueva tendencia
El jefe del Grupo de ingeniería de seguridad de la cadena de suministro de Checkmarx, Jossef Harush Kadouri, señaló que “se están formando comunidades en torno a la utilización de software de código abierto con fines maliciosos. Creemos que este es el comienzo de una tendencia que se incrementará en los próximos meses”.
Los hallazgos se compartieron a los equipos de seguridad de GitHub, NPM, Repl.it y Discord, entre otros. “Creemos en compartir y trabajar juntos para mantener el ecosistema seguro”, dijo Harush Kadouri.
FBI y otras agencias de EU lanzan advertencia por ransomware de Daixin Team
LofyGang y su conexión con Instagram
Hace apenas dos meses, en agosto de 2022, los investigadores de Checkmarx encontraron un par de paquetes maliciosos de LofyGang por lo que inmediatamente comenzaron a investigar y cruzar el IOC utilizando herramientas internas de retro-caza.
Lo que reveló más y más conexiones a otros paquetes. Algunos de los paquetes estaban vinculados a informes de Sonatype, SecureList y jFrog, pero cada informe era una pequeña pieza del gran rompecabezas.
De acuerdo con la investigación de Checkmarx, el grupo contribuye a una comunidad clandestina de cibercriminales bajo el alias “DyPolarLofy”, donde filtran miles de cuentas de Disney+ y Minecraft, promocionan sus herramientas en GitHub, sus bots y más.
Además, parece que la principal oferta de LofyGang, en esta comunidad clandestina de hackers, es vender seguidores falsos de Instagram.
Esto conecta con algunos de los perfiles de paquetes maliciosos. Por ejemplo, el paquete “fetch-string” está vinculado a la cuenta de Instagram “victorjxl”, que parecía ser una cuenta con seguidores falsos.