Los ecosistemas NuGet, PyPi y npm son el objetivo de una nueva campaña que ha provocado la publicación de más de 144.000 paquetes por parte de actores de amenazas desconocidos.
"Los paquetes formaban parte de un nuevo vector de ataque, en el que los atacantes enviaban spam al ecosistema de código abierto con paquetes que contenían enlaces a campañas de phishing", señalan investigadores de Checkmarx e Illustria en un informe publicado el miércoles.
De los 144.294 paquetes de phishing detectados, 136.258 estaban publicados en NuGet, 7.824 en PyPi y 212 en npm. Desde entonces, las bibliotecas infractoras han sido retiradas de la lista o retiradas.
Un análisis más detallado ha revelado que todo el proceso estaba automatizado y que los paquetes se publicaron en un breve espacio de tiempo y que la mayoría de los nombres de usuario seguían la convención "<a-z><1900-2022>".
Los paquetes falsos afirmaban proporcionar hacks, trucos y recursos gratuitos en un intento de engañar a los usuarios para que los descargaran. Las direcciones URL de las páginas fraudulentas de phishing estaban incrustadas en la descripción del paquete.
En total, la campaña masiva abarcó más de 65.000 URL únicas en 90 dominios.
"Los autores de esta campaña probablemente querían mejorar el posicionamiento en buscadores (SEO) de sus páginas de phishing enlazándolas a sitios web legítimos como NuGet", afirman los investigadores. "Esto pone de relieve la necesidad de ser cautelosos al descargar paquetes y sólo utilizar fuentes de confianza".
Estas páginas engañosas y bien diseñadas anunciaban códigos de Discord Nitro, hacks de juegos, "dinero gratis" para cuentas de Cash App, tarjetas regalo y aumento de seguidores en plataformas de redes sociales como YouTube, TikTok e Instagram.
Los sitios, como suele ocurrir, no ofrecen las recompensas prometidas, sino que piden a los usuarios que introduzcan sus direcciones de correo electrónico y completen encuestas, antes de redirigirlos a sitios legítimos de comercio electrónico a través de un enlace de afiliado para generar ingresos ilícitos por remisión.
El envenenamiento de NuGet, PyPi y npm con paquetes fabricados ilustra una vez más la evolución de los métodos que utilizan los actores de amenazas para atacar la cadena de suministro de software.
"La automatización del proceso también permitió a los atacantes crear un gran número de cuentas de usuario, lo que dificultó el rastreo del origen del ataque", afirman los investigadores. "Esto demuestra la sofisticación y determinación de estos atacantes, que estaban dispuestos a invertir importantes recursos para llevar a cabo esta campaña".