威胁行为者通过自动化流程在npm开源JavaScript存储库中上传了大量含有网络钓鱼链接的恶意包。Checkmarx的安全专家发现这些包使用相似的名称和项目描述,并可能包含攻击者的自动化代码和凭证。攻击者通过重定向到带有推荐ID的电商网站可能从中获利。此次活动与2022年12月的类似攻击有关,表明攻击者持续演变其策略。
据观察,威胁行为者在数小时内从多个用户帐户将超过1.5万个垃圾邮件包上传到 npm 开源 JavaScript 存储库。
这一说法来自JavaScript开发人员Jesse Mitchell,他周二在Twitter上发布了有关这些声明的信息。
Mitchell写道:“我一直注意到对npm的垃圾邮件攻击。数以万计的包裹充斥着注册表并占据了首页。“
然后,Checkmarx网络安全专家Yehuda Gelb进一步分析了调查结果,并在周二发布的公告中进行了讨论。
Gelb解释说:“进一步的调查发现了一种反复出现的攻击方法,其中网络攻击者利用垃圾邮件技术在开源生态系统中充斥着包含其 readme.md 文件中网络钓鱼活动链接的软件包。”
安全研究人员表示,恶意包是使用自动化流程创建的,这些流程还自动生成项目描述和彼此相似的名称。
Checkmarx公告中写道:“这些软件包似乎包含用于生成这些软件包的相同自动化代码,可能是攻击者错误上传的。生成脚本还包括攻击者在攻击流中使用的有效凭据。”
根据Gelb的说法,该活动背后的威胁行为者使用推荐ID引用零售网站,以从他们获得的推荐奖励中获利。
安全研究人员写道:“在调查网络钓鱼网站时,我们注意到其中一些网站重定向到带有推荐ID的电子商务网站。这突显了参与此类网络钓鱼活动的威胁行为者的潜在经济收益。”
Gelb还表示,该恶意活动背后的攻击者似乎与 2022 年12月检测到的先前垃圾邮件攻击 Checkmarx 相同。
Gelb说:“与毒害我们软件供应链生态系统的威胁行为者的斗争仍然是一场具有挑战性的斗争,因为攻击者不断适应并以新的和意想不到的技术给行业带来惊喜。通过共同努力,我们可以领先攻击者一步,并保持生态系统的安全。”
Checkmarx咨询是在ReversingLabs发现使用域名仿冒技术的npm上的恶意软件包几周后发布的。
扫一扫
1185
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
