平台充斥144000个网络钓鱼软件包

据Checkmarx报道，一个网络钓鱼组织在一场新的大型自动化活动中，向三个开源存储库上传了超过14.4万个恶意开源软件包。

几个月前，该公司与同行安全供应商Illustria合作，首次发现了这种活动，当时它注意到发布到NuGet包管理器的大量包集群。

调查发现，同一威胁行为者将13.5万个这样的软件包上传到同一个平台，npm上有212个，PyPi上有7824个。

这些有问题的软件包包含钓鱼链接，旨在获取受害者的电子邮件地址、用户名和各种账户的密码。一些人还把受害者带到电子商务市场全球速卖通等合法网站，为威胁行为者收取推荐费。

Checkmarx说:“这些包装中的信息试图吸引读者点击链接，承诺游戏作弊、免费资源，并在社交媒体平台上提供增加粉丝和点赞。”

钓鱼活动链接到90个域名上的6.5万多个唯一url，每个域名在不同的路径下托管多个钓鱼网页。这些欺骗性的网页设计精良，在某些情况下，甚至包括虚假的互动聊天，让用户看到他们收到了欺骗或承诺的关注者。

Checkmarx声称，该组织希望通过将钓鱼网站链接到NuGet等合法网站来改善钓鱼网站的搜索引擎优化(SEO)。高度自动化是这项运动的关键。

Checkmarx总结道：“这使得他们能够在短时间内发布大量的包，使得不同的安全团队难以快速识别和删除包。”

这一过程的自动化还允许攻击者创建大量用户账户，使得追踪攻击源变得困难。这显示了这些袭击者的老练和决心，他们愿意投入大量资源来实施这次行动。

Checkmarx警告说：“尽管这些违规软件包没有出现在NuGet的搜索结果中，但它们仍然可以在网站上找到。”