Фишеры превратили npm в хостинг для атак на промышленные компании
3 мин
96
Исследователи кибербезопасности из Socket Threat Research обнаружили фишинговую операцию, которая пять месяцев использовала npm как хостинг для своих приманок. Выявлено 27 вредоносных пакетов под шестью разными псевдонимами. Все они доставляли фишинговые компоненты, которые работали прямо в браузере и имитировали сервисы обмена документами и страницы входа в Microsoft.
npm — это реестр пакетов для JavaScript, библиотека, где разработчики публикуют и скачивают готовые фрагменты кода (фреймворки, утилиты) для своих проектов.
По словам ИБ-специалистов, атака была точечной. Злоумышленники выбрали её целями сотрудников отделов продаж и коммерческих подразделений в производственных и медицинских компаниях США, а также Канады, Австрии, Бельгии, Франции, Германии, Италии, Португалии, Испании, Швеции, Турции и Великобритании. Атаке предшествовала тщательная подготовка, адаптируемая под каждую жертву.
Злоумышленники публиковали вредоносные пакеты в npm. Внутри каждого пакета находились готовые фишинговые страницы. Их можно было загрузить через CDN-сервисы, которые раздают содержимое npm-пакетов по прямым ссылкам. Причём пакет adril7123 на момент публикации исследования всё ещё находился в реестре. Он загружает компонент, полностью меняющий содержимое страницы. Сначала пользователю демонстрируется экран верификации для доступа к якобы общим документам, затем — копия страницы входа в Microsoft с уже вписанным адресом жертвы.
Пакет включает многоуровневую защиту от анализа. Код проверяет признаки ботов через navigator.webdriver, а также считывает список плагинов браузера и размеры экрана. После этого он парсит user agent на наличие слов bot, crawl, spider и headless. В формах стоят скрытые honeypot-поля, которые остаются незаметны пользователю. Кнопки активируются только после движения мышью или касания.
После заполнения формы скрипт переадресует браузер на серверы злоумышленников, а в URL передаётся идентификатор жертвы. Исследователи Socket нашли несколько доменов для сбора данных. Часть этих адресов совпадает с инфраструктурой атак типа AiTM на базе Evilginx.
Фишинговые страницы также были замаскированы под сервис MicroSecure. Якобы кто-то поделился бизнес-документами с запросами цен, профилями компаний и чертежами, что для менеджеров по продажам представляет собой обычную рабочую ситуацию.
Предзаполненный email было невозможно изменить. В этом случае пользователь получал уведомление про истёкшую сессию и просьбу войти заново.
Эксперты по кибербезопасности сообщили о вредоносной кампании команде npm и попросили заблокировать издателя. Также специалисты уведомили все 25 организаций-целей и передали им технические индикаторы.
