Unknown threat actors have uploaded a massive 144,294 phishing-related packages on open-source package repositories, inluding NPM, PyPi, and NuGet.
Serangan skala besar dihasilkan dari otomatisasi, karena paket diunggah dari akun menggunakan skema penamaan tertentu, menampilkan deskripsi serupa, dan mengarah ke kelompok yang sama dari 90 domain yang menampung lebih dari 65.000 halaman phishing.
Operasi besar-besaran
NuGet memiliki bagian terbesar dari unggahan paket berbahaya, terhitung 136.258, PyPI memiliki 7.894 infeksi, dan NPM hanya memiliki 212.
Paket phishing diunggah di trove dalam beberapa hari, yang umumnya merupakan tanda aktivitas berbahaya.
URL ke situs phishing ditanamkan dalam deskripsi paket, dengan harapan tautan dari repositori akan meningkatkan SEO situs phishing mereka.
Deskripsi paket ini juga mendesak pengguna untuk mengeklik tautan untuk mendapatkan info lebih lanjut tentang dugaan kode kartu hadiah, aplikasi, alat peretasan, dll.
Hampir semua situs tersebut meminta pengunjung untuk memasukkan email, nama pengguna, dan kata sandi akun mereka, yang merupakan tempat terjadinya langkah phishing.
Ini memulai serangkaian pengalihan ke situs survei, akhirnya mendarat di situs web e-niaga yang sah menggunakan tautan afiliasi, begitulah cara pelaku ancaman menghasilkan pendapatan dari kampanye.
Peneliti keamanan yang menemukan kampanye ini memberi tahu NuGet tentang infeksi tersebut, dan semua paket telah dihapus dari daftar.
Namun, mengingat metode otomatis yang digunakan oleh pelaku ancaman untuk mengunggah sejumlah besar paket dalam waktu singkat, mereka dapat memperkenalkan kembali ancaman tersebut menggunakan akun baru dan nama paket yang berbeda kapan saja.
Untuk daftar lengkap URL yang digunakan dalam kampanye ini, lihat file teks IoC ini di GitHub.
sumber : bleeping computer
