Enlaces de phishing distribuidos a través de miles de módulos NPM no autorizados

Campañas de phishing distribuidas contra ecosistemas de código abierto.

La batalla contra los actores de amenazas que apuntan a los ecosistemas de código abierto continúa a medida que los investigadores de seguridad descubren miles de paquetes de spam que inundan el repositorio de NPM.

Estos paquetes se cargaron en el repositorio en un intento de distribuir enlaces de phishing.

Los investigadores de Checkmarx se encontraron con una campaña maliciosa mientras investigaban una anomalía en el ecosistema NPM el 20 de febrero: Descubrieron que los delincuentes cibernéticos dejaron caer más de 15.000 módulos npm a través de varias cuentas de usuario en cuestión de horas.

Según los informes, utilizaron un script de Python que automatizó el proceso de generación de nombres y descripciones de proyectos que se parecían mucho entre sí. Los módulos falsos tenían nombres como “free-tiktok-followers”, “free-xbox-codes” y “instagram-followers-free” para atraer a los usuarios desprevenidos.

Modus operandi

Los paquetes maliciosos incluían enlaces a campañas de phishing en sus archivos README.md con descripciones tentadoras que atraían a los usuarios, como trucos de juegos, recursos gratuitos y me gusta en las plataformas de redes sociales, incluidas TikTok e Instagram.

En algunos casos, las páginas engañosas incluían chats interactivos falsos que parecían mostrar a los usuarios que recibían los trucos del juego o los seguidores que les prometían. Algunos de estos sitios de phishing incluían un flujo incorporado que pretendía procesar datos y generar los obsequios prometidos. Sin embargo, este proceso fallaba la mayor parte del tiempo y se pedía a las víctimas que respondieran a una encuesta que conducía a encuestas adicionales o a sitios de comercio electrónico legítimos.

Algunos de estos sitios web falsos parecían redirigir a los usuarios a sitios de comercio electrónico con ID de referencia que pertenecían a actores de amenazas. Si las víctimas realizaban una compra en línea a través del sitio, se enviaba una recompensa de referencia en forma de cupón o crédito de la tienda a las cuentas de los atacantes.

Creciente tendencia de los ataques automatizados

Esta no es la primera vez que se encuentran atacantes que utilizan la automatización para envenenar el ecosistema NPM. Se observaron incidentes similares en el año anterior.
Un actor de amenazas llamado CuteBoi había utilizado la automatización para publicar más de 1200 paquetes npm que incluían la capacidad de eludir el desafío 2FA. Estos paquetes se subieron al repositorio para lanzar ataques de criptominería.
En otro incidente, un actor de amenazas llamado RED-LILI usó programas automatizados para publicar paquetes NPM maliciosos desde diferentes cuentas de usuario.

En los últimos años, ha habido un aumento significativo en los ataques de paquetes de códigos maliciosos que pueden comprometer los datos de una organización, interrumpir sus operaciones y dañar su reputación.
El año pasado, la cantidad de paquetes de códigos maliciosos aumentó en un 633 %, revelaron los investigadores de CheckPoint.
Los repositorios de NPM y PyPI siguen siendo los principales objetivos de los paquetes maliciosos, ya que los códigos maliciosos pueden activarse fácilmente durante la instalación del paquete.