Ngày 15 tháng 12 năm 2022Ravie Lakshmanan
Các hệ sinh thái NuGet, PyPi và npm là mục tiêu của một chiến dịch mới dẫn đến hơn 144.000 gói được xuất bản bởi các tác nhân đe dọa không xác định.
Các nhà nghiên cứu từ Checkmarx và Illustria cho biết trong một báo cáo được công bố hôm thứ Tư: “Các gói này là một phần của phương thức tấn công mới, với những kẻ tấn công gửi thư rác vào hệ sinh thái nguồn mở bằng các gói chứa liên kết đến các chiến dịch lừa đảo”.
Trong số 144.294 gói liên quan đến lừa đảo đã được phát hiện, 136.258 gói được xuất bản trên NuGet, 7.824 trên PyPi và 212 trên npm. Các thư viện vi phạm kể từ đó đã không được liệt kê hoặc gỡ xuống.
Phân tích sâu hơn cho thấy rằng toàn bộ quá trình đã được tự động hóa và các gói đã được đẩy lên trong một khoảng thời gian ngắn, với phần lớn tên người dùng tuân theo quy ước “
Bản thân các gói giả mạo đã tuyên bố cung cấp các bản hack, gian lận và tài nguyên miễn phí nhằm lừa người dùng tải xuống. Các URL dẫn đến các trang lừa đảo giả mạo đã được nhúng trong phần mô tả gói.
Tổng cộng, chiến dịch lớn bao gồm hơn 65.000 URL duy nhất trên 90 tên miền.
Các nhà nghiên cứu cho biết: “Các tác nhân đe dọa đằng sau chiến dịch này có thể muốn cải thiện khả năng tối ưu hóa công cụ tìm kiếm (SEO) của các trang web lừa đảo của họ bằng cách liên kết chúng với các trang web hợp pháp như NuGet”. “Điều này nhấn mạnh sự cần thiết phải thận trọng khi tải xuống các gói và chỉ sử dụng các nguồn đáng tin cậy.”
Các trang lừa đảo và được thiết kế tốt này đã quảng cáo mã Discord Nitro, hack trò chơi, “tiền miễn phí” cho tài khoản Ứng dụng tiền mặt, thẻ quà tặng và tăng lượng người theo dõi trên các nền tảng mạng xã hội như YouTube, TikTok và Instagram.
Các trang web, như thường lệ, không cung cấp phần thưởng như đã hứa, thay vào đó, nhắc người dùng nhập địa chỉ email của họ và hoàn thành các cuộc khảo sát, trước khi chuyển hướng họ đến các trang web thương mại điện tử hợp pháp thông qua liên kết liên kết để tạo doanh thu giới thiệu bất hợp pháp.
Việc đầu độc NuGet, PyPi và npm bằng các gói bịa đặt một lần nữa minh họa các phương thức đang phát triển mà các tác nhân đe dọa sử dụng để tấn công chuỗi cung ứng phần mềm.
Các nhà nghiên cứu cho biết: “Tự động hóa quy trình cũng cho phép những kẻ tấn công tạo ra một số lượng lớn tài khoản người dùng, gây khó khăn cho việc truy tìm nguồn gốc của cuộc tấn công”. “Điều này cho thấy sự tinh vi và quyết tâm của những kẻ tấn công này, những kẻ sẵn sàng đầu tư nguồn lực đáng kể để thực hiện chiến dịch này.”
