NuGet、PyPi 和 npm 生态系统是新活动的目标,该活动导致未知威胁参与者发布了超过 144,000 个包。
Checkmarx 和 Illustria 的研究人员在周三发布的一份报告中表示: “这些软件包是新攻击媒介的一部分,攻击者使用包含网络钓鱼活动链接的软件包向开源生态系统发送垃圾邮件。”
在检测到的144,294 个网络钓鱼相关包中,136,258 个发布在 NuGet 上,7,824 个发布在 PyPi 上,212 个发布在 npm 上。违规图书馆已被取消上市或撤下。
进一步的分析表明,整个过程是自动化的,并且包是在很短的时间内推送的,大多数用户名都遵循约定“<az><1900-2022>”。
假包本身声称提供黑客、作弊和免费资源,试图诱骗用户下载它们。流氓网络钓鱼页面的 URL 嵌入在包描述中。
研究人员说:“这次活动背后的威胁行为者可能希望通过将它们链接到 NuGet 等合法网站来改进其网络钓鱼站点的搜索引擎优化 (SEO)。” “这凸显了在下载软件包时要谨慎,并且只能使用受信任的来源。”
这些精心设计的欺骗性页面宣传 Discord Nitro 代码、游戏破解、Cash App 帐户的“免费资金”、礼品卡,以及在 YouTube、TikTok 和 Instagram 等社交媒体平台上增加的关注者。
通常情况下,这些网站不提供承诺的奖励,而是提示用户输入他们的电子邮件地址并完成调查,然后通过附属链接将他们重定向到合法的电子商务网站以产生非法推荐收入。
使用伪造包对 NuGet、PyPi 和 npm 的毒害再次说明了威胁行为者用来攻击软件供应链的不断演变的方法。
“自动化过程还允许攻击者创建大量用户帐户,从而难以追踪攻击源,”研究人员说。“这显示了这些攻击者的老练和决心,他们愿意投入大量资源来开展这次活动。”
