En lo que es un asalto continuo al ecosistema de código abierto, más de 15.000 paquetes de spam han inundado el repositorio de npm en un intento de distribuir enlaces de phishing.
«Los paquetes se crearon utilizando procesos automatizados, con descripciones de proyectos y nombres generados automáticamente que se parecían mucho entre sí», dijo el investigador de Checkmarx Yehuda Gelb. dicho en un informe del martes.
«Los atacantes se refirieron a sitios web minoristas utilizando ID de referencia, y así se beneficiaron de las recompensas de referencia que obtuvieron».
El modus operandi consiste en envenenar el registro con paquetes maliciosos que incluyen enlaces a campañas de phishing en sus archivos README.md, que evocan una campaña similar que la empresa de seguridad de la cadena de suministro de software expuso en diciembre de 2022.
Los módulos falsos se hicieron pasar por trucos y recursos gratuitos, con algunos paquetes llamados «free-tiktok-followers», «free-xbox-codes» y «instagram-followers-free».
El objetivo final de la operación es atraer a los usuarios para que descarguen los paquetes y hagan clic en los enlaces a los sitios de phishing con falsas promesas de más seguidores en las plataformas de redes sociales.
«Las páginas web engañosas están bien diseñadas y, en algunos casos, incluso incluyen chats interactivos falsos que parecen mostrar a los usuarios que reciben los trucos del juego o los seguidores que les prometieron», explicó Gelb.
Los sitios web instan a las víctimas a completar encuestas, que luego allanan el camino para encuestas adicionales o, alternativamente, las redirigen a portales de comercio electrónico legítimos como AliExpress.
Se dice que los paquetes se cargaron en npm desde varias cuentas de usuario en cuestión de horas entre el 20 y el 21 de febrero de 2023, utilizando un script de Python que automatiza todo el proceso.
Además, el script Python también está diseñado para agregar enlaces a los paquetes npm publicados en los sitios web de WordPress operados por el actor de amenazas que afirman ofrecer trucos de Family Island.
Esto se logra mediante el uso de la paquete Python de selenio interactuar con los sitios web y realizar las modificaciones necesarias.
En total, el uso de la automatización permitió al adversario publicar una gran cantidad de paquetes en un corto período de tiempo, sin mencionar la creación de varias cuentas de usuario para ocultar la escala del ataque.
«Esto demuestra la sofisticación y determinación de estos atacantes, que estaban dispuestos a invertir importantes recursos para llevar a cabo esta campaña», dijo Gelb.
Los hallazgos demuestran una vez más los desafíos para asegurar la cadena de suministro de software, ya que los actores de amenazas continúan adaptándose con «técnicas nuevas e inesperadas».