Исследователи Checkmarx и Illustria обнаружили несколько вредоносных программ в трех основных репозиториях с открытым исходным кодом Сегун было сообщено на этой неделе.
Из общего числа обнаруженных 144.294 136.258 пакетов 7.824 212 были обнаружены в NuGet, XNUMX XNUMX — в PyPi и XNUMX — в npm. Все они являются частью новый тип атаки, заключающийся в включении ссылок на спам-сайты в описание пакетов. В то время как PyPi и npm удалили пакеты, NuGET только сделал их недоступными для поиска, но они по-прежнему доступны для загрузки с их веб-сайта.
Где они обнаруживают несколько вредоносных программ
Речь идет о трех пакетных менеджерах. NuGet — это менеджер пакетов для платформы .NET, PyPi — репозиторий приложений Python, а npm — для распространения приложений Javascript..
Исследователям удалось обнаружить, что для загрузки пакетов использовался автоматизированный процесс вывод, потому что имена пользователей следовали шаблону <1900-2022>. Весь процесс также был выполнен в короткие сроки. Помимо скорости и продолжительности атаки, автоматизация затрудняет поиск источника.
Еще одно общее то, что вредоносные пакеты обещали доступ к бесплатным советам и ресурсам, а также улучшения производительности в социальных сетях.. Для этого им предлагалось перейти на веб-страницы, URL-адреса которых были включены в описание. Эти веб-сайты фактически использовались для фишинга. В ходе расследования было обнаружено 65,000 90 уникальных URL-адресов, сгруппированных в XNUMX доменов.
Специалисты не считают, что конечной целью были пользователи трех платформ.. По-видимому, они стремились улучшить рейтинг фишинговых сайтов в поисковых системах, чего они могли бы добиться благодаря ассоциации с хорошо позиционируемыми сайтами, такими как NuGET, PyPi и npm.
Вторая часть мошенничества
Когда пользователь, привлеченный предложением, мог видеть поддельные интерактивные чаты, в которых другие несуществующие пользователи получали обещанные преимущества. Если реальный пользователь решал продолжить, процесс моделировался для получения обещанного результата, но в какой-то момент произошел сбой, и пользователю было предложено выполнить проверку вручную. Это включало перемещение между различными сайтами, отвечая на вопросы, чтобы, наконец, попасть на законные порталы электронной коммерции.
Давайте объясним это немного лучше. Браузер для экономии времени обычно автоматически дополняет ссылку, которую вы уже использовали. Если я обманным путем заставлю вас щелкнуть ссылку Amazon с моим реферальным идентификатором, когда вы перейдете на Amazon, браузер, вероятно, автоматически заполнит мой идентификатор, поэтому я буду получать процент от каждой вашей покупки.