黑客泄露了据称从570万Gemini用户那里窃取的个人信息

©网络研究院

Gemini 加密货币交易所本周宣布，在威胁行为者从第三方供应商处收集客户的个人信息后，客户成为网络钓鱼活动的目标。

该通知是在我们看到的黑客论坛上的多个帖子提出出售据称来自 Gemini 的数据库后发出的，该数据库包含 570 万用户的电话号码和电子邮件地址。

Gemini 产品安全团队发布了一份简短通知 ，称一家未具名的第三方供应商遭遇“事件”，允许未经授权的行为者收集属于某些 Gemini 客户的电子邮件地址和不完整的电话号码。

由于违规，加密货币交易所的客户收到了网络钓鱼电子邮件。攻击者的目标尚未披露，但这种对账户和财务信息的访问通常是威胁行为者所追求的。

在其简短的报告中，Gemini 强调账户信息及其系统没有受到影响，资金和客户账户“仍然安全”。

该通知是在黑客论坛上的多个帖子提出出售据称来自 Gemini 的数据库后发出的，该数据库包含 570 万用户的电话号码和电子邮件地址。

早期尝试通过数据库获利是在 9 月。作者没有提及信息的新鲜程度，而是索要 30 个比特币（按当前汇率约合 520,000 美元）。

在黑客论坛上发帖，要求 Gemini 数据库提供 30 个比特币，其中包含 570 万封电子邮件。

10 月，另一个帖子以不同的别名发布，声称数据来自 9 月。

11 月中旬出现了另一篇使用不同用户名的帖子（现已在论坛上被禁止），提供来自多个加密货币交易所的数据库，其中包括来自 Gemini 的一个据称拥有 570 万用户的相同类型信息的数据库。

似乎所有通过数据库获利的尝试都没有奏效，因为另一个公告出现在另一个免费提供信息的论坛上。

帖子的作者分享了电话号码的格式，指出中间的三位数字丢失了。

发布涉嫌泄露的 Gemini 数据库，其中包含 570 万封电子邮件和部分电话号码。

Gemini 建议其客户依靠强大的身份验证方法，并建议 激活双因素身份验证 (2FA) 保护和/或 使用硬件安全密钥 来访问他们的帐户。

该公司还提供了更改与 Gemini 帐户关联的电子邮件地址所需的步骤。

黑客用超过 144,000 个恶意软件包轰炸开源存储库

NuGet、PyPi 和 npm 生态系统是新活动的目标，该活动导致未知威胁参与者发布了超过 144,000 个包。

Checkmarx 和 Illustria 的研究人员在周三发布的一份报告中表示： “这些软件包是新攻击媒介的一部分，攻击者使用包含网络钓鱼活动链接的软件包向开源生态系统发送垃圾邮件。”

在检测到的144,294 个网络钓鱼相关包中，136,258 个发布在 NuGet 上，7,824 个发布在 PyPi 上，212 个发布在 npm 上。违规已被取消上市或撤下。

进一步的分析表明，整个过程是自动化的，并且包是在很短的时间内推送的，大多数用户名都遵循约定“<az><1900-2022>”。

假包本身声称提供黑客、作弊和免费资源，试图诱骗用户下载它们。流氓网络钓鱼页面的 URL 嵌入在包描述中。

总的来说，这场大规模的活动包含90 个域上的65,000 多个唯一 URL 。

研究人员说：“这次活动背后的威胁行为者可能希望通过将它们链接到 NuGet 等合法网站来改进其网络钓鱼站点的搜索引擎优化 (SEO)。” “这凸显了在下载软件包时要谨慎，并且只能使用受信任的来源。”

这些精心设计的欺骗性页面宣传 Discord Nitro 代码、游戏破解、Cash App 帐户的“免费资金”、礼品卡，以及在 YouTube、TikTok 和 Instagram 等社交媒体平台上增加的关注者。

通常情况下，这些网站不提供承诺的奖励，而是提示用户输入他们的电子邮件地址并完成调查，然后通过附属链接将他们重定向到合法的电子商务网站以产生非法推荐收入。

NuGet、PyPi 和 npm 使用伪造的包中毒再次说明了威胁参与者用来攻击软件供应链的不断演变的方法。

“自动化过程还允许攻击者创建大量用户帐户，从而难以追踪攻击源，”研究人员说。“这显示了这些攻击者的老练和决心，他们愿意投入大量资源来开展这次活动。”

140K NUGET、NPM 和 PYPI 包如何被用来传播钓鱼链接

全文链接：

https://checkmarx.com/blog/how-140k-nuget-npm-and-pypi-packages-were-used-to-spread-phishing-links/

原文始发于微信公众号（网络研究院）：黑客泄露了据称从570万Gemini用户那里窃取的个人信息