Ciberpiratas desconocidos han cargado 144.294 paquetes relacionados con phishing en repositorios de paquetes de código abierto, incluidos NPM, PyPi y NuGet.
El ataque a gran escala, fue el resultado de ataque totalmente automatizado, ya que los paquetes se cargaron desde cuentas que usaban un esquema de nombres muy particular.
Las cuentas presentaban descripciones similares y conducían al mismo grupo de 90 dominios que alojaban más de 65.000 páginas de phishing.
Malware IceXLoader: El encargado de miles de infecciones por phishing está de vuelta
La campaña respaldada por esta operación promueve las aplicaciones falsas, encuestas ganadoras de premios, tarjetas de regalo, obsequios y muchos más.
En algunos casos, dirigen a las víctimas hacía AliExpress a través de enlaces de referidos.
Una gran operación masiva
Esta campaña de phishing fue descubierta por los analistas de Checkmarx e Illustria, quienes trabajaron juntos para descubrir y mapear la infección que afecta al ecosistema de software de código abierto.
Phishing de QBot abusa del EXE del Panel de control para infectar los dispositivos
NuGet tuvo la mayor parte de cargas de paquetes maliciosos, con 136 258, PyPI tuvo 7894 infecciones y NPM “solo” 212.
Los paquetes de phishing se cargaron en solo un par de días, lo que por si solo ya es un signo de actividad maliciosa.
La URL de los sitios de phishing se implantó en la descripción del paquete, con la esperanza de que los enlaces de los repositorios aumentaran el SEO de sus sitios de phishing.
Estas descripciones de paquetes también instaron a los usuarios a hacer clic en los enlaces para obtener más información sobre supuestos códigos de tarjetas de regalo, aplicaciones, herramientas de pirateo, etc.
En algunos casos, los actores de amenazas promocionan generadores de tarjetas de regalo de Steam falsos, códigos de tarjetas de regalo electrónicas de Play Station Network, créditos de Play Store, generadores de seguidores de Instagram, generadores de suscriptores de YouTube, etc.
Casi todos estos sitios solicitan a los visitantes que ingresen su correo electrónico, nombre de usuario y contraseñas de cuenta; desde este punto de partido, es donde comienzan los ataques de phishing.
El pago por las cuentas verificadas de Twitter genera una nueva campaña de phising
Los sitios falsos cuentan con un elemento que se parece al generador gratuito prometido, pero falla cuando los visitantes intentan usarlo y solicitan una verificación humana.
Esto inicia una serie de redireccionamientos a sitios de encuestas y finalmente aterriza en sitios web de comercio electrónico legítimos que utilizan enlaces de afiliados, que es como los actores de amenazas generan ingresos de la campaña.
Por supuesto, las credenciales de la cuenta del juego robada, los correos electrónicos y los nombres de usuario de las redes sociales también se pueden monetizar; ya que generalmente se agrupan en colecciones y se venden en foros de piratería y los mercados de la darknet.
Los investigadores de seguridad que descubrieron esta campaña informaron a NuGet de la infección y desde entonces, todos los paquetes ya se eliminaron de la lista.
¿Qué es la Ingeniería Social? Ataques, técnicas y prevención
Sin embargo, considerando el método automatizado empleado por los actores de amenazas para cargar una cantidad tan grande de paquetes en tan poco tiempo, podrían volver a introducir la amenaza utilizando nuevas cuentas y diferentes nombres de paquetes en cualquier momento.
Si quieres obtener la lista completa de las URL utilizadas en esta campaña, consulta este archivo de texto de IoC en GitHub.