据Checkmarx报道,一个网络钓鱼组织在一场新的大型自动化活动中,向三个开源存储库上传了超过14.4万个恶意开源软件包。
几个月前,该公司与同行安全供应商Illustria合作,首次发现了这种活动,当时它注意到发布到NuGet包管理器的大量包集群。
调查发现,同一威胁行为者将13.5万个这样的软件包上传到同一个平台,npm上有212个,PyPi上有7824个。
这些有问题的软件包包含钓鱼链接,旨在获取受害者的电子邮件地址、用户名和各种账户的密码。一些人还把受害者带到电子商务市场全球速卖通等合法网站,为威胁行为者收取推荐费。
Checkmarx说:“这些包装中的信息试图吸引读者点击链接,承诺游戏作弊、免费资源,并在社交媒体平台上提供增加粉丝和点赞。”
钓鱼活动链接到90个域名上的6.5万多个唯一url,每个域名在不同的路径下托管多个钓鱼网页。这些欺骗性的网页设计精良,在某些情况下,甚至包括虚假的互动聊天,让用户看到他们收到了欺骗或承诺的关注者。
Checkmarx声称,该组织希望通过将钓鱼网站链接到NuGet等合法网站来改善钓鱼网站的搜索引擎优化(SEO)。高度自动化是这项运动的关键。
Checkmarx总结道:“这使得他们能够在短时间内发布大量的包,使得不同的安全团队难以快速识别和删除包。”
这一过程的自动化还允许攻击者创建大量用户账户,使得追踪攻击源变得困难。这显示了这些袭击者的老练和决心,他们愿意投入大量资源来实施这次行动。
Checkmarx警告说:“尽管这些违规软件包没有出现在NuGet的搜索结果中,但它们仍然可以在网站上找到。”
