144.000 paquetes maliciosos encontrados en repositorios de código abierto.
Los analistas de Checkmarx e Illustria descubrieron que atacantes desconocidos subieron 1.44.294 paquetes de phishing a repositorios de código abierto, incluidos NPM, PyPi y NuGet.
Los investigadores escriben que este ataque a gran escala utilizó activamente la automatización: los paquetes se descargaron en nombre de diferentes cuentas utilizando un esquema de nombres específico, tenían descripciones similares y condujeron a un grupo de 90 dominios, que albergaba más de 65,000 páginas de phishing.
De esta manera, los atacantes promovieron aplicaciones falsas, encuestas, después de lo cual se prometió a los participantes grandes premios, tarjetas de regalo, regalos y mucho más. En algunos casos, los hackers redirigieron a las víctimas a AliExpress a través de enlaces de referencia.
La mayoría de los paquetes maliciosos se cargaron en NuGet: 136,258 piezas, se detectaron 7,894 infecciones en PyPI y solo 212 en NPM.
Las URL de sitios de phishing se insertaron directamente en las descripciones de los paquetes. Aparentemente, los operadores de la campaña esperaban que los enlaces de los repositorios mejoraran el SEO de sus sitios de phishing. Además, las descripciones de los paquetes alentaban a los usuarios a hacer clic en los enlaces para obtener más información sobre las tarjetas de regalo, aplicaciones, herramientas de piratería, etc.
En algunos casos, los atacantes anunciaron generadores de tarjetas de regalo falsos para Steam, códigos de tarjetas de regalo de Play Station Network, créditos de Play Store, generadores de suscriptores de YouTube y más. Lo único en común era que casi todos los sitios de phishing pedían a los visitantes que ingresaran su dirección de correo electrónico, nombre de usuario y contraseña de cuenta.
Te puede interesar:
LEVEL. TRAVEL DATOS DE USUARIO FILTRADOS
Además, en cada uno de los recursos maliciosos había un elemento parecido al generador de código prometido. Sin embargo, no funcionó, y si los visitantes intentaron usarlo, pidió confirmación de que el usuario no es un robot. Esta «verificación» inició una serie de redireccionamientos a sitios para pasar encuestas y, finalmente, la víctima llegó a un recurso legítimo de comercio electrónico. Dado que esto se hizo a través de enlaces de afiliados, los atacantes recibieron ingresos de tales redireccionamientos.
Además, la monetización podría llevarse a cabo a expensas de credenciales robadas de cuentas de juegos, direcciones de correo electrónico y cuentas de usuarios en redes sociales, que generalmente se combinan en colecciones y se venden en foros de hackers y en la red oscura.
Los investigadores notificaron a los equipos de todos los repositorios sobre la amenaza detectada, y por ahora todos los paquetes maliciosos ya han sido eliminados. Sin embargo, se observa que gracias a la automatización, los atacantes pueden descargar una gran cantidad de paquetes en muy poco tiempo, y pueden repetir el ataque en cualquier momento utilizando nuevas cuentas y otros nombres de paquetes.