Hacker bombardieren Open-Source-Repositories mit mehr als 144.000 schädlichen Paketen

15. zwölfter Monat des Jahres 2022Ravie Lakshmanan

NuGet-, PyPi- und npm-Ökosysteme sind dasjenige Ziel einer neuen Kampagne, die dazu geführt hat, dass mehr als 144.000 Pakete von unbekannten Bedrohungsakteuren veröffentlicht wurden.

„Die Pakete waren Teil eines neuen Angriffsvektors, nebst dem Angreifer dasjenige Open-Source-Natur mit Paketen zuspammten, die Sinister zu Phishing-Kampagnen enthielten“, sagten Forscher von Checkmarx und Illustria in einem am Mittwoch veröffentlichten Neuigkeit.

Von den 144.294 erkannten Phishing-bezogenen Paketen wurden 136.258 hinaus NuGet, 7.824 hinaus PyPi und 212 hinaus npm veröffentlicht. Die beleidigenden Bibliotheken wurden seitdem nicht mehr gelistet oder weit.

Weitere Analysen nach sich ziehen sicher, dass jener gesamte Prozess automatisiert war und dass die Pakete mehr als vereinen kurzen Zeitraum gepusht wurden, womit die meisten Benutzernamen jener Konvention „<1900-2022>“ folgten.

Die gefälschten Pakete selbst behaupteten, Hacks, Cheats und kostenlose Ressourcen bereitzustellen, um Benutzer dazu zu können, sie herunterzuladen. Die URLs zu den betrügerischen Phishing-Seiten wurden in die Paketbeschreibung eingebettet.

Insgesamt umfasste die massive Kampagne mehr wie 65.000 eindeutige URLs hinaus 90 Domains.

„Die Bedrohungsakteure hinter dieser Kampagne wollten wahrscheinlich die Suchmaschinenoptimierung (SEO) ihrer Phishing-Sites verbessern, während sie sie mit legitimen Websites wie NuGet verlinken“, sagten die Forscher. „Dies unterstreicht die Notwendigkeit, beim Herunterladen von Paketen vorsichtig zu sein und nur vertrauenswürdige Quellen zu verwenden.“

Selbige irreführenden und gut gestalteten Seiten bewarben Spiel-Hacks, „kostenloses Geld“ zu Händen Cash-App-Konten, Geschenkkarten und mehr Follower hinaus Social-Media-Plattformen wie YouTube, TikTok und Instagram.

Die Websites offenstehen, wie es normalerweise jener Kern ist, nicht die versprochenen Belohnungen, sondern fordern die Benutzer stattdessen hinaus, E-Mail-Dienst-Adressen einzugeben und Umfragen auszufüllen, ehe sie mehr als vereinen Affiliate-Link hinaus legitime Elektronischer Geschäftsverkehr-Websites umgeleitet werden, um illegale Einnahmen aus Empfehlungen zu generieren.

Die Vergiftung von NuGet, PyPi und npm mit fabrizierten Paketen verdeutlicht wieder einmal die sich entwickelnden Methoden, mit denen Bedrohungsakteure die Software-Wertschöpfungskette Zähne zeigen.

„Die Automatisierung des Prozesses ermöglichte es den Angreifern gleichwohl, eine große Zahl von Benutzerkonten zu erstellen, welches es schwierig machte, die Quelle des Angriffs zurückzuverfolgen“, sagten die Forscher. “Dies zeigt die Raffinesse und Entschlossenheit dieser Angreifer, die zur Hand waren, erhebliche Ressourcen zu investieren, um sie Kampagne durchzuführen.”