Исследователи ReversingLabs недавно обнаружили более десятка вредоносных пакетов, опубликованных в репозитории npm с открытым исходным кодом и предназначенных для конечных пользователей приложений, а также поддерживающих фишинговые кампании по электронной почте, направленные на пользователей Microsoft 365.
Вредоносные пакеты npm были обнаружены в двух траншах: Один поддерживал фишинговые атаки, в ходе которых собирались данные пользователей с помощью поддельных форм входа на сайт Microsoft.com, запускаемых из вредоносных почтовых вложений. Второй предназначался для внедрения скриптов сбора учетных данных в приложения, в которые случайно попали пакеты npm.
Вредоносные пакеты были размещены на npm в период с 11 мая по 13 июня. Они имитируют легитимные модули npm, в частности jquery, который еженедельно загружается около 7 млн. раз. В общей сложности они были загружены около 1000 раз, но вскоре после обнаружения были удалены с npm. ReversingLabs назвала эту кампанию "Operation Brainleeches", основываясь на вредоносной инфраструктуре, используемой для облегчения кражи данных жертв.
Indicators of Compromise
IPv4
- 137.184.153.238
Domains
- ourwhite.brainleeches.xyz
SHA1
- 0b4247bf806e33d8d02b8051224d2d110a2b4f19
- 10b0c28cac9375cae74464343309a85d74687d9e
- 121b10560f54d7767d250e15deb4aff89b577d03
- 33d1401651e16db2031b597a2a7ac36dfd2a7a27
- 3eb67cdd1d992db9fa11c924273eef31c315fe8c
- 47c8cd0a9203cb388e7cf865d3493da91f408ae0
- 4b938ea813c9be1feb95fcec52991b5ba8ee88fb
- 4fd665a5c610a30528417ea0e201e0c4f946f5fc
- 5448aa6902a98308836cca6a3ac6e30ede074e8b
- 6c2d2d3c2e68bf3df88a41033a536d16c59c2f9d
- 6c315b0907ce516d8b9c12d9609c752ff2107d88
- 93027a2aa009502ce1992c851d4551573cb90b94
- b29ae6894064b761522e0fffae3c6ae31c6b6604
- d186505f2fecf7c959f7f0441cf4a221bbbbe41c