Вредоносные кампании, направленные на экосистемы с открытым исходным кодом, вызывают поток спама, отравление SEO и заражение вредоносным ПО.
- Угрожающие субъекты создают вредоносные веб-сайты и публикуют пустые пакеты со ссылками на эти вредоносные веб-сайты, пользуясь хорошей репутацией экосистем с открытым исходным кодом в поисковых системах.
- Атаки вызвали отказ в обслуживании (DoS), который сделал работу NPM нестабильной и привел к появлению спорадических ошибок "Service Unavailable".
- Кампании включали в себя кампанию по заражению вредоносным ПО, кампанию по мошенничеству с рефералами, связанную с AliExpress, и кампанию по мошенничеству с криптовалютами, направленную на российских пользователей в Telegram.
- Были выявлены различные МОК, включая доменные имена, IP-адреса и URL-адреса.
Очевидно, злоумышленники сочли непроверенные экосистемы с открытым исходным кодом легкой мишенью для SEO-отравления для различных вредоносных кампаний. До тех пор, пока имя не раскрыто, они могут публиковать неограниченное количество пакетов.
Обычно количество версий пакетов, выпущенных на NPM, составляет около 800 000. Однако в предыдущем месяце эта цифра превысила 1,4 миллиона из-за большого количества спам-кампаний.
При этом методе атаки злоумышленники создают вредоносные сайты и публикуют пустые пакеты со ссылками на эти вредоносные сайты. Поскольку экосистемы с открытым исходным кодом имеют высокую репутацию в поисковых системах, любые новые пакеты с открытым исходным кодом и их описания наследуют эту хорошую репутацию и становятся хорошо проиндексированными в поисковых системах, что делает их более заметными для ничего не подозревающих пользователей.
Indicators of Compromise
Domains
- aapu.at
- api2.check-data.xyz
- bebekmanti.com
- beelowers.com
- iplis.ru
- potunulit.org
- server13.cdneurops.pics
- sun6-20.userapi.com
- sun6-22.userapi.com
URLs
- http://15.204.49.142/files/123.exe
- http://163.123.143.4/download/Service.vmp
- http://163.123.143.4/download/Service_.vmp
- http://163.123.143.4/download/WWW14.bmp
- http://193.233.20.29/games/category/index.php
- http://193.233.20.29/games/category/Plugins/clip.dll
- http://193.233.20.29/games/category/Plugins/cred.dll
- http://193.233.20.35/gallery/photo_007.exe
- http://194.110.203.101/puta/brazilx86.exe
- http://208.67.104.60/api/firegate.php
- http://208.67.104.60/api/tracemap.php
- http://230320051222585.btl.jbc75.shop/f/fsbm0320.exe
- http://45.12.253.56/advertisting/plus.php?s=NOSUB&str=mixtwo&substr=mixinte
- http://45.12.253.72/default/puk.php
- http://45.12.253.72/default/stuk.php
- http://45.12.253.74/pineapple.php?pub=mixinte
- http://45.12.253.75/dll.php
- http://65.109.226.91/0ab626f8f67208ad.php
- http://94.142.138.113/api/firecom.php
- http://94.142.138.113/api/tracemap.php
- http://94.142.138.131/api/firegate.php
- http://94.142.138.131/api/tracemap.php
- http://aapu.at/tmp/
- http://hugersi.com/dl/6523.exe
- http://ji.ghwiwwff.com/m/oskg25
- http://potunulit.org/