RU
EN
Что произошло?
Совместное исследование Checkmarx и Illustria привело к обнаружению аномалии в экосистеме открытого исходного кода. Более 144 000 zip-файлов библиотек были опубликованы в NuGet, NPM и PyPi одними и теми же авторами.
Расследование выявило новый вектор атаки — злоумышленники рассылают в экосистему открытого кода архивы, содержащие ссылки на фишинговые кампании. Все архивы и связанные с ними учетные записи пользователей, скорее всего, были созданы автоматически. Архивы имеют схожее описание проекта и автоматически генерируемые имена. Авторы отправляли трафик на веб-сайты с реферальными идентификаторами, чтобы получить реферальное вознаграждение.
Аномалии NuGet
Что такое NuGet – пакет NuGet представляет собой отдельный ZIP-файл с расширением .nupkg, который содержит скомпилированный код (DLL), другие файлы, связанные с этим кодом, и описательный манифест, включающий такие сведения, как номер версии пакета. Проще говоря это библиотеки пошаренные в опенсорс хранилища.
Несколько месяцев назад аналитики обнаружили аномалию в экосистеме NuGet, когда сопоставили новую информацию со своими базами данных. В менеджере пакетов NuGet в большом количестве публиковались группы пакетов. Дальнейшее расследование показало, что эти пакеты были частью нового вектора атак: злоумышленники рассылали в экосистему открытого исходного кода пакеты, содержащие ссылки на фишинговые кампании.
В данной ситуации, похоже, что для создания более 135 000 пакетов в NuGet и связанных с ними учетных записей пользователей использовались автоматизированные процессы. Описания этих пакетов содержали ссылки на фишинговые кампании. Команды аналитиков предупредили команду безопасности NuGet, и они ответили, что пакеты были исключены из списка для защиты пользователей экосистемы открытого исходного кода.
Фишинговые сайты в описании пакетов
Злоумышленники использовали большое количество пакетов с названиями, связанными со взломом, читами и бесплатными ресурсами, для продвижения своей фишинговой кампании. Некоторые из названий пакетов включали «free-steam-codes-generator», «yalla-ludo-diamond-hack», «a3-still-alive-hack-diamonds» и «project-makeover-hack-gems». Эти названия были придуманы для того, чтобы заманить пользователей скачать пакеты и перейти по ссылкам на фишинговые сайты.
Описания всех найденных нами пакетов содержали ссылки на фишинговые сайты. Угрожающие лица, стоящие за этой кампанией, вероятно, хотели улучшить поисковую оптимизацию (SEO) своих фишинговых сайтов путем размещения на них ссылок на легитимные сайты, такие как NuGet. Это подчеркивает необходимость быть осторожным при загрузке пакетов и использовать только надежные источники.
Сообщения в этих пакетах пытаются заманить читателей перейти по ссылкам, обещая игровые читы, бесплатные ресурсы и увеличение числа подписчиков и лайков на платформах социальных сетей, таких как TikTok и Instagram.
Фишинговая кампания связала более 65 000 уникальных URL-адресов на 90 доменах, причем на каждом домене было размещено несколько фишинговых веб-страниц под разными путями. Обманные веб-страницы хорошо оформлены и в некоторых случаях даже включают поддельные интерактивные чаты, которые, как кажется, показывают, что пользователи получают обещанные им читы или подписчиков.
Эти чаты даже отвечают на сообщения, если читатель решит принять в них участие, но все это автоматизировано и сфабриковано. Это подчеркивает необходимость соблюдать осторожность при взаимодействии со ссылками в пакетах и важность использования только проверенных источников.
Сайты включали встроенную фейковую шкалу загрузки, которая делала вид, что обрабатывает данные и генерирует обещанные «подарки». Однако в большинстве случаев этот процесс не срабатывал, и жертве предлагалось пройти этап «человеческой верификации», который включал в себя несколько сайтов, перенаправляющих пользователя с одного на другой. Эти сайты включали опросы, в которых пользователю предлагалось ответить на различные вопросы, ведущие к дополнительным опросам или, в конечном счете, к законным сайтам электронной коммерции.
Реферальные вознаграждения
Исследуя фишинговые сайты, аналитики заметили, что некоторые из них перенаправляют на e-commerce с реферальными идентификаторами. Например, в результате одного из экспериментов аналитики были перенаправлены на AliExpress, одну из крупнейших в мире платформ розничной онлайн-торговли. Как и многие другие сайты розничной торговли, AliExpress предлагает реферальную программу, которая вознаграждает участников за привлечение новых клиентов на платформу.
Сколько итогово заработали эти умельцы не ясно, но шума навели однозначно. Аналитиками было найдено и проанализировано более 65 000 уникальных ссылок. Будьте осторожны при установке библиотек из опенсорс.
