查看原文
其他

开源仓库遭14.4万个钓鱼包洪水攻击

Bill Toulas 代码卫士 2022-12-17

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

未知攻击者在开源包仓库(包括NPM、PyPi 和 NuGet)中上传了144,294个和钓鱼攻击相关的程序包。

研究人员指出,该大规模攻击是自动执行的,这些程序包是通过使用特定命名规则的账户上传的,它们描述类似,造成由90个域名组成的同样集群中托管了超过6.5万个钓鱼包。

该攻击活动推销虚假应用、有奖调查问卷、礼品卡、赠品等。在一些情况下,甚至还让受害者点击推荐链接进入速卖通。


大规模攻击活动

这次攻击活动是由Checkmarx 和 Illustria 公司的研究员联合发现的,他们映射了影响该开源软件生态系统的感染情况。NuGet 拥有数量最多的恶意包上传,为136258个;PyPI 的感染数量是7894个,NPM是212个。

这些钓鱼程序包是在及天之内批量上传的,而这以便是恶意活动的迹象。这些钓鱼网站的URL被注入程序包的描述中,寄望于提升钓鱼网站的SEO。这些包在描述中督促用户点击链接获得关于所声称礼品卡码、应用、黑客工具的更多信息。在某些情况下,攻击者会推销虚假的Steam 礼品卡生成器、Play Station Network 电子礼品卡码、Play Store 信用、Instagram 粉丝生成器、YouTube 订阅用户生成器等。几乎所有的这些站点都要求访问人员输入邮件、用户名和账户密码,而这就是钓鱼攻击开始的地方。

这些虚假站点具有一个和合法的免费生成器相似的元素,但当访客尝试使用时却提示需要“人类验证”。随后触发到调查网站的一系列重定向,最终落在使用附属链接的合法电商网站上,而这就是攻击者获利的方式。当然,被盗的游戏账户凭据、邮件和社交媒体用户名也可变现,因为它们一般是捆绑的并被在黑客论坛和暗网市场出售。然而,考虑到攻击者自动化上传如此多的程序包,因此他们随时可能使用新账户和不同的包名称重新引入该威胁。

可参照IoC 文本文件,获取完整的URL清单:https://gist.github.com/jossef/77c4fd00fccf68b56d76a36c79799ca1



代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读
CEO失联、资金链断裂,开源软件托管平台Fosshost将关闭
美国开源软件安全评价方法体系分析
很多大厂都在用的开源开发平台Backstage上存在严重的RCE漏洞
GitHub 为公开仓库设立非公开漏洞报告渠道,保护开源软件安全
微软GitHub Copilot 被诉违反开源许可条款和侵犯开发人员权益



原文链接

https://www.bleepingcomputer.com/news/security/open-source-repositories-flooded-by-144-000-phishing-packages/


题图:Pexels License‍


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存