聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
研究人员指出,该大规模攻击是自动执行的,这些程序包是通过使用特定命名规则的账户上传的,它们描述类似,造成由90个域名组成的同样集群中托管了超过6.5万个钓鱼包。
该攻击活动推销虚假应用、有奖调查问卷、礼品卡、赠品等。在一些情况下,甚至还让受害者点击推荐链接进入速卖通。
这次攻击活动是由Checkmarx 和 Illustria 公司的研究员联合发现的,他们映射了影响该开源软件生态系统的感染情况。NuGet 拥有数量最多的恶意包上传,为136258个;PyPI 的感染数量是7894个,NPM是212个。
这些钓鱼程序包是在及天之内批量上传的,而这以便是恶意活动的迹象。这些钓鱼网站的URL被注入程序包的描述中,寄望于提升钓鱼网站的SEO。这些包在描述中督促用户点击链接获得关于所声称礼品卡码、应用、黑客工具的更多信息。在某些情况下,攻击者会推销虚假的Steam 礼品卡生成器、Play Station Network 电子礼品卡码、Play Store 信用、Instagram 粉丝生成器、YouTube 订阅用户生成器等。几乎所有的这些站点都要求访问人员输入邮件、用户名和账户密码,而这就是钓鱼攻击开始的地方。
这些虚假站点具有一个和合法的免费生成器相似的元素,但当访客尝试使用时却提示需要“人类验证”。随后触发到调查网站的一系列重定向,最终落在使用附属链接的合法电商网站上,而这就是攻击者获利的方式。当然,被盗的游戏账户凭据、邮件和社交媒体用户名也可变现,因为它们一般是捆绑的并被在黑客论坛和暗网市场出售。然而,考虑到攻击者自动化上传如此多的程序包,因此他们随时可能使用新账户和不同的包名称重新引入该威胁。
可参照IoC 文本文件,获取完整的URL清单:https://gist.github.com/jossef/77c4fd00fccf68b56d76a36c79799ca1
https://www.bleepingcomputer.com/news/security/open-source-repositories-flooded-by-144-000-phishing-packages/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):开源仓库遭14.4万个钓鱼包洪水攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论