Checkmarx 和 Illustria 的研究人员发现 三个主要开源存储库中的多个恶意软件 根据 它被告知 本星期。
在检测到的总共 144.294 个包中,136.258 个在 NuGet 上找到,7.824 个在 PyPi 上找到,212 个在 npm 上找到。 他们都是一部分 一种新型攻击,包括在包的描述中包含指向垃圾邮件站点的链接。 虽然 PyPi 和 npm 已经删除了这些包,但 NuGET 只是让它们无法搜索,但它们仍然可以从他们的网站上下载。
他们在哪里检测到多个恶意软件
我们正在谈论三个包管理器。 NuGet 是 .NET 平台的包管理器,PyPi 是 Python 应用程序存储库,npm 用于 Javascript 应用程序分发。.
研究人员能够发现 使用自动化过程上传包 结论是因为用户名遵循模式<1900-2022>。 整个过程也是在很短的时间内完成的。 除了攻击的速度和延伸, 自动化使得很难找到来源。
另一个共同点是 恶意包承诺在社交网络上获得免费提示和资源以及性能改进. 为此,他们邀请访问网址包含在描述中的网页。 这些网站实际上被用于网络钓鱼。 调查检测到 65,000 个独特的 URL,分为 90 个域。
专家不认为最终目标是三大平台的用户. 显然,他们正在寻找的是提高网络钓鱼网站的搜索引擎排名,他们将通过与 NuGET、PyPi 和 npm 等定位良好的网站的关联来实现这一目标。
骗局的第二部分
当用户被优惠吸引时,可能会看到虚假的互动聊天,其他不存在的用户会收到承诺的好处。 如果真实用户决定继续,则模拟该过程以生成承诺的结果,但在某个时候 发生故障,提示用户手动完成验证。 这包括在各个站点之间移动以回答问题,最终登陆合法的电子商务门户网站。
让我们更好地解释一下。 为了节省时间,浏览器通常会自动完成您已经使用过的链接。 如果我用我的推荐 ID 诱骗你点击亚马逊链接,当你访问亚马逊时,浏览器可能会自动完成我的 ID,所以我会从你的每一次购买中获得一定比例的佣金。