Фонд Rust Foundation предупредил сообщество о выявленной фишинг-атаке, нацеленной на пользователей репозитория пакетов crates.io. Злоумышленники рассылают письма, маскирующиеся под официальные уведомления от crates.io, с целью кражи учетных данных разработчиков. Подобная тактика ранее уже наблюдалась в атаках на репозитории NPM, PyPI и Mozilla AMO, где злонамеренные акторы пытались скомпрометировать учетные записи для публикации вредоносных версий пакетов.
Описание
В своих сообщениях атакующие утверждают, что инфраструктура проекта была скомпрометирована, и предлагают получателям немедленно пройти аутентификацию через специальную форму, чтобы предотвратить потенциальный ущерб. Ссылки в письмах ведут на поддельный домен rustfoundation.dev, который не контролируется ни Rust Foundation, ни Rust Project. После перехода пользователь попадает на страницу, визуально идентичную интерфейсу GitHub, где запрашиваются данные для входа, включая двухфакторную аутентификацию.
Представители Rust Foundation подчеркивают, что рассылка является мошеннической и создана с целью кражи учетных данных GitHub. На текущий момент нет свидетельств успешного перехвата учетных записей или компрометации инфраструктуры crates.io. Организация уже предпринимает меры по блокировке злоумышленного домена и усилению мониторинга подозрительной активности на платформе.
Эксперты по кибербезопасности обращают внимание на высокое качество поддельных страниц: сайт rustfoundation.dev проксирует запросы к настоящему github.com, что позволяет злоумышленникам полностью воспроизводить официальный интерфейс и перехватывать вводимые пользователями данные. Это усложняет обнаружение и повышает риск того, что даже опытные разработчики могут стать жертвами атаки.
Rust Foundation настоятельно рекомендует получателям подобных писем не переходить по ссылкам и не вводить свои учетные данные, а также помечать такие сообщения как фишинг в своих почтовых сервисах. Осведомленность и осторожность остаются ключевыми элементами защиты от подобных угроз.
Инцидент в очередной раз демонстрирует растущий интерес злоумышленников к атакам на цепочки поставок программного обеспечения (software supply chain). Компрометация учетных записей разработчиков позволяет встраивать вредоносный код в популярные пакеты, что может привести к масштабным последствиям для тысяч проектов и их пользователей.
На текущий момент расследование инцидента продолжается. Rust Foundation призывает сообщество сохранять бдительность и следить за официальными каналами коммуникации для получения дополнительной информации.
Индикаторы компрометации
Domains
- rustfoundation.dev
URLs
- https://rustfoundation.dev/
- https://rustfoundation.dev/login