Аналитики Checkmarx заметили, что репозиторий npm заполонили более 15 000 пакетов с «мусорными» ссылками. Злоумышленники использовали реферальные ссылки различных торговых сайтов, получая прибыль от их реферальных программ.
«Эти пакеты созданы с использованием автоматизации, с описаниями проектов и автоматически сгенерированными именами, которые очень похожи друг на друга», — рассказывают эксперты.
Эта атака напоминает другую кампанию, выявленную в декабре 2022 года и направленную на экосистемы NuGet, PyPi и npm. Сейчас, равно как и в прошлом году, злоумышленники включают свои ссылки в файлы README.md.
Фейковые пакеты маскируются под различные читы и бесплатные ресурсы. Например, некоторые обещают бесплатных подписчиков в социальных сетях или коды для Xbox: free-tiktok-followers и free-xbox-codes. Главная задача атакующих — побудить пользователей загружать эти пакеты и переходить по ссылкам на фишинговые или реферальные сайты.
«Фиктивные веб-страницы хорошо спроектированы и, в некоторых случаях, даже имеют фальшивые интерактивные чаты, которые якобы демонстрируют, что пользователи действительно получают игровые читы или подписчиков, которых им обещали», — говорят эксперты.
Как правило, на таких сайтах жертв побуждают проходить опросы или перенаправляют на легитимные e-commerce сайты, такие как AliExpress.
По информации Checkmarx, новая волна таких пакетов была загружена в npm в период с 20 по 21 февраля 2023 года, от лица нескольких учетных записей. При этом злоумышленники использовали Python-скрипт, который автоматизировал весь процесс. Кроме того, скрипт был спроектирован таким образом, чтобы добавлять ссылки на опубликованные пакеты npm на сайты под управлением WordPress, которые контролируют атакующие. На этих сайтах якобы предлагаются читы для Family Island.
В целом использование автоматизации позволило атакующим опубликовать большое количество пакетов за короткий промежуток времени, не говоря уже о создании нескольких учетных записей для сокрытия масштабов атаки.
«Это показывает изощренность и решимость этих злоумышленников, которые готовы вложить значительные ресурсы для проведения своей кампании», — резюмируют специалисты.
