Хакеры завалили крупные репозитории СПО гигантским количеством фишинговых пакетов

144 тыс. фишинговых пакетов

В репозитории открытого ПО загружено колоссальное количество фишинговых пакетов. Общее их количество на ресурсах NPM, PyPi и NuGet составило 144 294.

Пакеты были загружены с аккаунтов, использовавших сходные схемы присвоения наименований и сходные же описания. Все они вели на кластер из 90 доменов, в которых располагаются более 65 тыс. фишинговых страниц.

Кампания была нацелена на поддержку масштабной операции по продвижению фейковых приложений, мошеннических опросов, суливших призы участникам, подарочных карт и пр. В некоторых случаях жертв перенаправляли на китайский онлайн-маркет Aliexpress через реферальные ссылки.

Фишинговая кампания была обнаружена аналитиками фирм Checkmarx и Illustria, которые совместно расследовали масштаб атаки на экосистему опенсорсных проектов.

Фишинговая сеть накрыла опенсорсные репозитории

Выяснилось, что наибольшее количество вредоносных пакетов (136 258) было загружено на NuGet. На PyPI попали 7 894 пакета, на NPM — только 212.

Многосоставная кампания

Загрузка производилась в течение двух дней. Ссылки на фишинговые сайты были встроены в описание пакетов. Оочевидно, злоумышленники рассчитывали, что ссылки из репозиториев улучшат SEO-показатели их фишинговых сайтов.

В тех же описаниях приводились подробности «акций», которые рекламировались мошенниками. Например, жертвам обещали подарочные карты Steam, коды PlayStation Network, генераторы подписок в Instagram и Youtube и т. д.

Итоги года: PIX Robotics выполняет крупнейший в Европе проект миграции RPA Маркет

На конечных сайтах, куда заманивали пользователей, от них требовалось, естественно, вводить свои имена, почтовые адреса и пароли от действующих аккаунтов.

На некоторых сайтах были размещены интерфейсы этих самых генераторов, но они не срабатывали, требуя «доказать, что пользователь — человек». За этим следовала серия перенаправлений на различные сайты с опросами, а в конце пользователь оказывался на легитимных сайтах интернет-магазинов. И, по-видимому, именно за эти переходы владельцы магазинов и платят операторам кампании.

Украденные пароли и почтовые адреса, в свою очередь, продаются на хакерских форумах и киберкриминальных маркетах в даркнете.

Исследователи проинформировали NuGet об атаке, и все вредоносные пакеты вскоре были убраны. Однако их загрузка производилась, судя по всему, автоматически, и, значит, все эти пакеты могут быть загружены повторно в любой момент.

Ефим Климов, «Эттон»: Как мы получили грант на разработку MES-системы Поддержка ИТ-отрасли

«Информация о том, что злоумышленники используют репозитории открытого ПО для подгрузки различных вредоносов, приходит нередко, но нынешняя кампания выглядит особенно масштабной и комплексной, — говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. — И действительно, нельзя исключать, что все эти пакеты будут загружаться снова и снова, и заблокировать их загрузку удастся только с помощью каких-либо драконовских мер со стороны администраторов репозиториев. А такие меры заодно осложнят жизнь легитимным пользователям».