Совместное исследование, проведенное компаниями по кибербезопасности Checkmarx и Illustria, выявило масштабную фишинговую кампанию, в ходе которой репозитории с открытым исходным кодом были атакованы более чем 144 000 пакетов. В отличие от многих других кампаний, связанных с распространением пакетов программного обеспечения, эта недавно обнаруженная кампания не пыталась распространять пакеты содержащие вредоносную полезную нагрузку. Вместо этого пакеты функционировали как уловка, чтобы направить пользователей на цепочку фишинговых сайтов, опросов и сайтов интернет-магазинов.
Злоумышленники загрузили эти фишинговые пакеты в три разных репозитория пакетов: NPM, NuGet и PyPi. Рассматриваемые пакеты были загружены набором учетных записей пользователей с именами в соответствии с общим шаблоном, при этом каждая учетная запись публикует одинаковое количество пакетов, что позволяет предположить, что публикация этих пакетов была автоматизирована.
У самих пакетов были названия, связанные со взломом, читами и бесплатными ресурсами, такими как имена подписчиков в социальных сетях или внутриигровая валюта. Кампания была разработана, чтобы заманить людей этими именами пакетов и использовать доверие к настоящим репозиториям пакетов, чтобы обманным путем заставить людей загружать их. Эти пакеты содержали ссылки на веб-сайты, представленные как предлагающие те же услуги, которые рекламируются в названиях пакетов.
Пользователи, открывавшие эти ссылки находили веб-сайты, которые предлагали ожидаемые услуги. Однако под предлогом предоставления этих услуг каждый веб-сайт просил пользователей ввести свои учетные данные для входа в соответствующие учетные записи. Эти запросы на вход в систему служили для кражи учетных данных жертв. Получив эти учетные данные, веб-сайты обрабатывали эту информацию для создания рекламируемых "подарков", но затем запрашивали "проверку человеком".
Этот предполагаемый процесс проверки перенаправлял пользователей через цепочку различных сайтов для проведения опросов, в конечном итоге выводя пользователей на настоящие сайты интернет-магазинов. Перенаправления на сайты интернет-магазинов включали реферальные коды в URL-адреса в качестве средства монетизации для злоумышленников стоящих за этой кампанией. Если жертвы продолжали совершать покупки на этих сайтах, пока реферальные коды были активны, злоумышленники получали вознаграждения. Таким образом, перенаправление пользователей с первоначальных фишинговых сайтов служило как отвлечением внимания от кражи учетных данных жертв, так и вторичной схемой эксплуатации.
С тех пор подозрительные фишинговые пакеты были удалены из репозиториев, за исключением случая с NuGet, где пакеты не были указаны в результатах поиска репозитория. Тем не менее, пользователи должны сохранять бдительность при просмотре репозиториев пакетов. Автоматический характер этой кампании означает, что злоумышленники вполне могут вновь провести аналогичную фишинговую кампанию.