Los ecosistemas NuGet, PyPi y npm son el objetivo de una nueva campaña que ha resultado en la publicación de más de 144 000 paquetes por parte de actores de amenazas desconocidos.
«Los paquetes eran parte de un nuevo vector de ataque, con atacantes enviando spam al ecosistema de código abierto con paquetes que contenían enlaces a campañas de phishing», investigadores de Checkmarx e Illustria. dijo en un informe publicado el miércoles.
Del 144.294 paquetes relacionados con phishing que se detectaron, 136 258 se publicaron en NuGet, 7824 en PyPi y 212 en npm. Desde entonces, las bibliotecas infractoras han sido eliminadas o eliminadas.
Un análisis más detallado ha revelado que todo el proceso se automatizó y que los paquetes se enviaron en un corto período de tiempo, con la mayoría de los nombres de usuario siguiendo la convención «
Los paquetes falsos afirmaban proporcionar hacks, trucos y recursos gratuitos en un intento de engañar a los usuarios para que los descargaran. Las direcciones URL de las páginas de phishing no autorizadas se incrustaron en la descripción del paquete.
En total, la campaña masiva abarcó más de 65.000 URL únicas en 90 dominios.
«Los actores de amenazas detrás de esta campaña probablemente querían mejorar la optimización del motor de búsqueda (SEO) de sus sitios de phishing vinculándolos a sitios web legítimos como NuGet», dijeron los investigadores. «Esto resalta la necesidad de ser cauteloso al descargar paquetes y solo usar fuentes confiables».
Estas páginas engañosas y bien diseñadas anunciaban hacks de juegos, «dinero gratis» para cuentas de Cash App, tarjetas de regalo y más seguidores en plataformas de redes sociales como YouTube, TikTok e Instagram.
Los sitios, como suele ser el caso, no ofrecen las recompensas prometidas, sino que solicitan a los usuarios que ingresen direcciones de correo electrónico y completen encuestas, antes de redirigirlos a sitios de comercio electrónico legítimos a través de un enlace de afiliado para generar ingresos de referencias ilícitas.
El envenenamiento de NuGet, PyPi y npm con paquetes fabricados ilustra una vez más los métodos en evolución que utilizan los actores de amenazas para atacar la cadena de suministro de software.
«La automatización del proceso también permitió a los atacantes crear una gran cantidad de cuentas de usuario, lo que dificulta rastrear la fuente del ataque», dijeron los investigadores. «Esto demuestra la sofisticación y determinación de estos atacantes, que estaban dispuestos a invertir importantes recursos para llevar a cabo esta campaña».