Дослідники Checkmarx і Illustria виявили численні шкідливі програми в трьох основних сховищах з відкритим кодом відповідно до йому було повідомлено цього тижня.
Із загальних 144.294 136.258 виявлених пакетів 7.824 212 було знайдено на NuGet, XNUMX XNUMX на PyPi і XNUMX на npm. Усі вони є частиною новий тип атаки, що включає включення посилань на спам-сайти в опис пакетів. Хоча PyPi та npm видалили пакети, NuGET лише зробив їх недоступними для пошуку, але вони все ще доступні для завантаження з їх веб-сайту.
Де вони виявляють кілька шкідливих програм
Мова йде про три пакетних менеджера. NuGet — це менеджер пакетів для платформи .NET, PyPi — це сховище програм Python, а npm працює для розповсюдження програм Javascript..
Дослідники змогли це виявити для завантаження пакетів використовувався автоматизований процес прийшовши до висновку, оскільки імена користувачів відповідали шаблону <1900-2022>. Весь процес також був виконаний за короткий проміжок часу. Окрім швидкості та тривалості атаки, автоматизація ускладнює пошук джерела.
Інша спільна річ полягає в тому, що шкідливі пакети обіцяли доступ до безкоштовних порад і ресурсів, а також покращення продуктивності в соціальних мережах. Щоб досягти цього, вони запросили перейти на веб-сторінки, URL-адреса яких була включена в опис. Ці веб-сайти фактично використовувалися для фішингу. Розслідування виявило 65,000 90 унікальних URL-адрес, згрупованих у XNUMX доменів.
Фахівці не вважають, що кінцевою метою були користувачі трьох платформ. Очевидно, вони прагнули покращити рейтинг фішингових сайтів у пошуковій системі, чого вони досягли завдяки об’єднанню добре позиціонованих сайтів, таких як NuGET, PyPi та npm.
Друга частина афери
Коли користувач, залучений пропозицією, міг побачити підроблені інтерактивні чати, де інші неіснуючі користувачі отримували обіцяні переваги. Якщо реальний користувач вирішив продовжити, процес моделювався для отримання обіцяного результату, але в якийсь момент сталася помилка, і користувачеві було запропоновано завершити перевірку вручну. Це включало переміщення між різними сайтами, відповідаючи на запитання, щоб нарешті потрапити на законні портали електронної комерції.
Давайте пояснимо це трохи краще. Щоб заощадити час, браузер зазвичай автоматично доповнює посилання, яке ви вже використали. Якщо я обманом змушу вас натиснути посилання на Amazon із моїм реферальним ідентифікатором, коли ви зайдете на Amazon, браузер, ймовірно, автоматично заповнить мої ідентифікатори, тому я отримаю відсоток від кожної вашої покупки.