Поделиться
Хакеры завалили крупные репозитории СПО гигантским количеством фишинговых пакетов
На три крупных репозитория открытого ПО разом были загружены почти полторы сотни тысяч пакетов со ссылками на фишинговые сайты. Загрузки стали элементом масштабной мошеннической кампании. Сейчас их удалили, но они в любой момент могут появиться снова.
144 тыс. фишинговых пакетов
В репозитории открытого ПО загружено колоссальное количество фишинговых пакетов. Общее их количество на ресурсах NPM, PyPi и NuGet составило 144 294.
Пакеты были загружены с аккаунтов, использовавших сходные схемы присвоения наименований и сходные же описания. Все они вели на кластер из 90 доменов, в которых располагаются более 65 тыс. фишинговых страниц.
Кампания была нацелена на поддержку масштабной операции по продвижению фейковых приложений, мошеннических опросов, суливших призы участникам, подарочных карт и пр. В некоторых случаях жертв перенаправляли на китайский онлайн-маркет Aliexpress через реферальные ссылки.
Фишинговая кампания была обнаружена аналитиками фирм Checkmarx и Illustria, которые совместно расследовали масштаб атаки на экосистему опенсорсных проектов.
Выяснилось, что наибольшее количество вредоносных пакетов (136 258) было загружено на NuGet. На PyPI попали 7 894 пакета, на NPM — только 212.
Многосоставная кампания
Загрузка производилась в течение двух дней. Ссылки на фишинговые сайты были встроены в описание пакетов. Оочевидно, злоумышленники рассчитывали, что ссылки из репозиториев улучшат SEO-показатели их фишинговых сайтов.
В тех же описаниях приводились подробности «акций», которые рекламировались мошенниками. Например, жертвам обещали подарочные карты Steam, коды PlayStation Network, генераторы подписок в Instagram и Youtube и т. д.
На конечных сайтах, куда заманивали пользователей, от них требовалось, естественно, вводить свои имена, почтовые адреса и пароли от действующих аккаунтов.
На некоторых сайтах были размещены интерфейсы этих самых генераторов, но они не срабатывали, требуя «доказать, что пользователь — человек». За этим следовала серия перенаправлений на различные сайты с опросами, а в конце пользователь оказывался на легитимных сайтах интернет-магазинов. И, по-видимому, именно за эти переходы владельцы магазинов и платят операторам кампании.
Украденные пароли и почтовые адреса, в свою очередь, продаются на хакерских форумах и киберкриминальных маркетах в даркнете.
Исследователи проинформировали NuGet об атаке, и все вредоносные пакеты вскоре были убраны. Однако их загрузка производилась, судя по всему, автоматически, и, значит, все эти пакеты могут быть загружены повторно в любой момент.
«Информация о том, что злоумышленники используют репозитории открытого ПО для подгрузки различных вредоносов, приходит нередко, но нынешняя кампания выглядит особенно масштабной и комплексной, — говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. — И действительно, нельзя исключать, что все эти пакеты будут загружаться снова и снова, и заблокировать их загрузку удастся только с помощью каких-либо драконовских мер со стороны администраторов репозиториев. А такие меры заодно осложнят жизнь легитимным пользователям».
Короткая ссылка
