Dans ce qui est un assaut continu contre l’écosystème open source, plus de 15 000 paquets de spam ont inondé le référentiel npm dans le but de distribuer des liens de phishing.
« Les packages ont été créés à l’aide de processus automatisés, avec des descriptions de projet et des noms générés automatiquement qui se ressemblaient étroitement », a déclaré Yehuda Gelb, chercheur chez Checkmarx. a dit dans un rapport de mardi.
« Les attaquants se sont référés à des sites Web de vente au détail à l’aide d’identifiants de parrainage, profitant ainsi des récompenses de parrainage qu’ils ont gagnées. »
Le modus operandi consiste à empoisonner le registre avec des packages malveillants qui incluent des liens vers des campagnes de phishing dans leurs fichiers README.md, évoquant une campagne similaire exposée par la société de sécurité de la chaîne d’approvisionnement en logiciels en décembre 2022.
Les faux modules se sont fait passer pour des astuces et des ressources gratuites, avec certains packages nommés « free-tiktok-followers », https://thehackernews.com/2023/02/ »free-xbox-codes » et « instagram-followers-free ». . »
Le but ultime de l’opération est d’inciter les utilisateurs à télécharger les packages et à cliquer sur les liens vers les sites de phishing avec de fausses promesses d’augmentation du nombre d’abonnés sur les plateformes de médias sociaux.
« Les pages Web trompeuses sont bien conçues et, dans certains cas, incluent même de faux chats interactifs qui semblent montrer aux utilisateurs recevant les tricheurs du jeu ou les abonnés qui leur ont été promis », a expliqué Gelb.
Les sites Web invitent les victimes à remplir des sondages, qui ouvrent ensuite la voie à des sondages supplémentaires ou, alternativement, les redirigent vers des portails de commerce électronique légitimes comme AliExpress.
Les packages auraient été téléchargés sur npm à partir de plusieurs comptes d’utilisateurs en quelques heures entre le 20 et le 21 février 2023, à l’aide d’un script Python qui automatise l’ensemble du processus.
De plus, le script Python est également conçu pour ajouter des liens vers les packages npm publiés sur les sites Web WordPress exploités par l’acteur de la menace qui prétend proposer des astuces pour Family Island.
Ceci est réalisé en utilisant le package Python sélénium pour interagir avec les sites Web et apporter les modifications nécessaires.
Au total, l’utilisation de l’automatisation a permis à l’adversaire de publier un grand nombre de packages en peu de temps, sans oublier de créer plusieurs comptes d’utilisateurs pour dissimuler l’ampleur de l’attaque.
« Cela montre la sophistication et la détermination de ces attaquants, qui étaient prêts à investir des ressources importantes pour mener à bien cette campagne », a déclaré Gelb.
Les résultats démontrent une fois de plus les défis de la sécurisation de la chaîne d’approvisionnement des logiciels, alors que les acteurs de la menace continuent de s’adapter avec des « techniques nouvelles et inattendues ».