Die Hackergruppe LofyGang stiehlt durch manipulierte Hacking-Tools und NPM-Pakete primär Kreditkartendaten und Anmeldeinformationen.
Die Hackergruppe LofyGang versucht durch zahlreiche manipulierte Hacking-Tools und NPM-Pakete Kreditkartendaten und Anmeldeinformationen zu stehlen. Gerade Discord-User sollten besonders wachsam sein.
LofyGang verbreitet zahlreiche manipulierte Tools unter Hackern
Eine Hackergruppe mit dem Namen LofyGang hat ein ganzes Unternehmen zum Diebstahl von Zugangsdaten aufgebaut. Dafür verbreiteten die Cyberkriminellen 200 schadhafte Pakete und manipulierte Hacking-Tools über beliebte Code-Hosting-Plattformen wie NPM und GitHub.
Viele der betroffenen Pakete sind mittlerweile wieder verschwunden. Einige andere hingegen sind weiterhin verfügbar, wie ein von Checkmarx’s Supply Chain Security bereitgestelltes Tool zeigt. Die Sicherheitsforscher hinter dem Tool versuchen sämtliche Operationen von LofyGang nachzuverfolgen, um einen Überblick über deren Ziele und die Auswirkungen ihrer Aktionen zu bekommen.
Sie haben außerdem eine vollständige Liste der bösartigen NPM-Pakete auf GitHub zur Verfügung gestellt. Daran wird auch ersichtlich, dass LofyGang viele verschiedene Konten einsetzt, um die Pakete hochzuladen. Dadurch fragmentieren sie ihre Operationen so weit wie möglich, um groß angelegte Takedowns zu umgehen.
Kreditkartendaten und Anmeldeinformationen sind beliebte Ziele der Angreifer
Hauptziele von LofyGang scheinen laut BleepingComputer Kreditkartendaten, Discord-Zugangsdaten sowie Anmeldeinformationen für Streamingdienste und Spiele zu sein. Ein beliebtes Ziel ist dabei mitunter auch Minecraft, das Angreifer häufig für die Verbreitung von Malware missbrauchen. Die kompromittierten Benutzerkonten wollen die Hacker offenbar im Dark Web, in Hackerforen und auf Discord an andere Kriminelle weiterverkaufen.
Für interessierte Hacker bietet LofyGang Unterstützung zur Verwendung ihrer Hacking-Tools. Beispielsweise in Form von Video-Tutorials auf YouTube sowie Anleitungen auf einem Discord-Server, der außerdem mit Nitro-Werbegeschenken lockt. Mit einem „Lofy Boost“ genannten Bot können Mitglieder dort direkt Nitro mit gestohlenen Kreditkartendaten kaufen.
Der YouTube Kanal Checkmarx Security klärt in einem Video genauer über die Vorgänge auf dem Discord-Server auf:
Discord-User sollten sich vor LofyGang in acht nehmen
Viele der gefälschten NPM-Pakete, die LofyGang verbreitet, geben sich als Discord-Entwicklungspakete oder Pakete für Farben, Zeichenketten oder Dateioperationen aus. Die Hacking-Tools hingegen, zu denen beispielsweise Discord-Spammer, Passwort-Stealer oder Nitro-Generatoren gehören, finden primär über Hacker-Foren ihren Weg auf die Systeme ihrer Opfer.
Unter den Werkzeugen von LofyGang befindet sich außerdem eine Malware, die sich als legitime Version der Discord-App tarnt und Kreditkarteninformationen abgreift, sobald der Benutzer ein Abonnement darüber abschließt. Doch der tatsächliche Schadcode für diesen Vorgang wird erst nachträglich als Abhängigkeit nachgeladen, sodass die manipulierte Discord-App im ersten Schritt oftmals nicht als Schadsoftware erkannt wird.
