Компании Checkmarx и Illustria провели исследование, которое показало, что в репозиториях программного обеспечения с открытым исходным кодом присутствует множество вредоносных пакетов. В экосистемах NuGet, NPM и PyPi выявили более 144 тысяч таких пакетов.
В их описаниях содержатся ссылки на фишинговые страницы, которые могут использовать злоумышленники для организации различных мошеннических схем, в том числе с целью кражи денег или получения регистрационных данных.
Исследование показало, что для публикации вредоносных модулей, по всей видимости, применялись инструменты автоматизации. Пакеты загружались с аккаунтов, использующих шаблонную схему обозначения вида «<a-z><1900-2022>». Многие из злоумышленников опубликовали идентичное количество пакетов. Они распространяли вредоносные модули под названиями, связанными со взломом, читами, а также теми или иными бесплатными ресурсами. Например, некоторые пакеты именовались как «free-steam-codes-generator», «yalla-ludo-diamond-hack», «a3-still-alive-hack-diamonds» и «project-makeover-hack-gems».
Всего выявлено 144 294 вредоносных пакета. Из них 136 258 размещены на платформе NuGet, 212 — на NPM и 7824 — на PyPi. Фишинговая кампания связана с более чем 65 тысячами уникальных адресов электронных ресурсов в 90 доменах. Веб-страницы, размещённые киберпреступниками, тщательно проработаны и иногда даже включают поддельные интерактивные чаты с автоматизированными диалогами. Некоторые фишинговые сайты перенаправляли на сайты электронной коммерции с реферальными идентификаторами.
Изначально аномалию обнаружили в NuGet. Команды предупредили группу безопасности NuGet, и там ответили, что пакеты не включены в список для защиты пользователей экосистемы с открытым исходным кодом. Хотя пакеты больше не доступны на NuGet, их веб-страницы по-прежнему доступны на сайте. Что касается других экосистем, то пакеты были удалены.
Полный набор данных исследования разместили на GitHub Gist.
В августе некоторые пакеты PyPI оказались скомпрометированы из-за того, что разработчики попались на фишинговые письма. Фишинговая кампания была нацелена на тех, кто занимается поддержкой пакетов Python, опубликованных в реестре PyPI. До этого исследователи из компании Sonatype обнаружили шифровальщика в официальном репозитории PyPI. В ходе расследования выяснилось, что вредонос в репозиторий загрузил школьник, а любой пользователь пакетов оказывался жертвой вымогателя.
В апреле GitHub Security рассказала об утечке данных из приватных репозиториев клиентов платформы с использованием скомпрометированных токенов OAuth, сгенерированных для сервисов Heroku и Travis-CIGitHub. Проблема также затронула часть сервисов GitHub и инфраструктуру проекта NPM.
В сентябре GitHub предупредил, что злоумышленники атакуют пользователей с помощью фишинговой кампании, выдавая себя за сервис CircleCI. Они собирают учётные данные пользователей и коды двухфакторной аутентификации.
