La firma de seguridad de software Checkmarx descubrió 200 paquetes maliciosos con miles de instalaciones vinculadas a un grupo de ataque llamado “LofyGang”. Dicho grupo, ha estado operando durante más de un año con múltiples objetivos de piratería, entre los que se encuentran:
- Robar información de tarjetas de crédito.
- Robar las actualizaciones “Nitro” (premium) de Discord.
- Robar cuentas de servicios de transmisión (por ejemplo, Disney+), cuentas de Minecraft y más.
Además se ha observado a los operadores de LofyGang promocionando sus herramientas de piratería en foros, mientras que algunas de las herramientas se envían con una puerta trasera oculta. Los hallazgos de Checkmarx se divulgaron a los equipos de seguridad de GitHub, NPM, Repl.it, Discord y más.
Hace apenas dos meses, en agosto de 2022, los investigadores de Checkmarx encontraron un par de paquetes maliciosos de LofyGang por lo que inmediatamente comenzaron a investigar y cruzar el IOC utilizando herramientas internas de retro-caza. Lo que reveló más y más conexiones a otros paquetes. Algunos de los paquetes estaban vinculados a informes de Sonatype, SecureList y jFrog, pero cada informe era una pequeña pieza del gran rompecabezas.
El servidor Discord de LofyGang fue creado hace un año, el 31 de octubre de 2021, y parece ser el principal canal de comunicación entre los administradores del grupo y sus miembros. En este servidor de Discord, se puede encontrar soporte técnico para las herramientas de piratería del grupo, un grupo de memes oscuros y un bot responsable de regalar actualizaciones de Discord Nitro.
Contribuciones a Cracked.io
El grupo está contribuyendo a una comunidad clandestina de piratas informáticos bajo el alias DyPolarLofy, donde filtran miles de cuentas de Disney+ y Minecraft, promocionan sus herramientas de piratería en GitHub, sus bots y más.
Además, parece que la principal oferta de LofyGang, en esta comunidad clandestina de hackers, es vender seguidores falsos de Instagram. Esto conecta con algunos de los perfiles de paquetes maliciosos; por ejemplo, el paquete “fetch-string” está vinculado a la cuenta de Instagram “victorjxl”, que parecía ser una cuenta con seguidores falsos.
Tutoriales de YouTube
LofyGang tiene un canal de YouTube con contenido de autopromoción, como tutoriales en video que muestran cómo usar sus herramientas de piratería. Su canal tiene casi 4k suscriptores.
Perfil de GitHub
El grupo aloja herramientas de pirateo en la cuenta PolarLofy de GitHub. Sus repositorios de código abierto ofrecen herramientas y bots para Discord, como:
- Spam de Discord
- Robo de contraseñas
- Generador Nitro
- Eliminador de chat
Modificar la aplicación Discord instalada
Se vio que algunos de los paquetes maliciosos del grupo modificaban la instancia instalada de Discord, con ganchos para robar tarjetas de crédito enviados a través del webhook de Discord directamente a los atacantes cada vez que se realizaba un pago.
“Se están formando comunidades en torno a la utilización de software de código abierto con fines maliciosos. Creemos que este es el comienzo de una tendencia que se incrementará en los próximos meses. Creemos en compartir y trabajar juntos para mantener el ecosistema seguro”, finalizó Jossef Harush Kadouri, jefe del grupo de ingeniería de seguridad de la cadena de suministro de Checkmarx.