Аналитики компаний Checkmarx и Illustria обнаружили, что неизвестные злоумышленники загрузили 144 294 фишинговых пакета в опенсорсные репозитории, включая NPM, PyPi и NuGet.

Загрузки вредоносных пакетов

Исследователи пишут, что эта масштабная атака активно использовала автоматизацию: пакеты загружались от имени разных учетных записей с использованием определенной схемы именования, имели схожие описания и вели к одному кластеру из 90 доменов, где размещались более 65 000 фишинговых страниц.

Таким способом злоумышленники продвигали фейковые приложения, опросы, после которых участникам обещали крупные призы, подарочные карты, подарки и многое другое. В некоторых случаях хакеры перенаправляли жертв на AliExpress по реферальным ссылкам.

Большего всего вредоносных пакетов оказалось загружено в NuGet — 136 258 штук, в PyPI было обнаружено 7 894 заражения, а в NPM — только 212.

URL-адреса фишинговых сайтов были вставлены прямо в описание пакетов. Видимо, операторы кампании надеялись, что ссылки из репозиториев улучшат SEO их фишинговых сайтов. Кроме того, описания пакетов побуждали пользователей кликать на ссылки, чтобы получить дополнительную информацию о предполагаемых подарочных картах, приложениях, инструментах для взлома и так далее.

Описание со ссылками

В некоторых случаях злоумышленники рекламировали таким образом поддельные генераторы подарочных карт для Steam, коды подарочных карт для Play Station Network, кредиты в Play Store, генераторы подписчиков на YouTube и многое другое. Общим было лишь одно: почти все фишинговые сайты просили посетителей ввести свой адрес электронной почты, имя пользователя и пароль от учетной записи.

Более того, на каждом из вредоносных ресурсов присутствовал элемент, напоминающий обещанный генератор кодов. Однако он не работал, и если посетители пытались его использовать, запрашивал подтверждение, что пользователь – не робот. Эта «проверка»  инициировала целую серию перенаправлений на сайты для прохождения опросов и, наконец, жертва попадала на легитимный e-commerce ресурс. Так как это осуществлялось через  партнерские ссылки, злоумышленники получали доход от таких редиректов.

Партнерская ссылка

Также монетизация могла осуществляться за счет украденных учетных данных от игровых учетных записей, email-адресов и акаунтов пользователей в социальных сетях, которые обычно объединяются в коллекции и продаются на хакерских форумах и в даркнете.

Исследователи уведомили команды всех репозиториев о замеченной угрозе, и к настоящему моменту все вредоносные пакеты уже удалены. Однако отмечается, что благодаря автоматизации  злоумышленники способны загружать большое количество пакетов за очень короткое время, и они в любое время могут повторить атаку, используя новые учетные записи и другие имена пакетов.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии