开源仓库遭14.4万个钓鱼包洪水攻击

研究人员指出，该大规模攻击是自动执行的，这些程序包是通过使用特定命名规则的账户上传的，它们描述类似，造成由90个域名组成的同样集群中托管了超过6.5万个钓鱼包。

该攻击活动推销虚假应用、有奖调查问卷、礼品卡、赠品等。在一些情况下，甚至还让受害者点击推荐链接进入速卖通。

这次攻击活动是由Checkmarx 和 Illustria 公司的研究员联合发现的，他们映射了影响该开源软件生态系统的感染情况。NuGet 拥有数量最多的恶意包上传，为136258个；PyPI 的感染数量是7894个，NPM是212个。

这些钓鱼程序包是在及天之内批量上传的，而这以便是恶意活动的迹象。这些钓鱼网站的URL被注入程序包的描述中，寄望于提升钓鱼网站的SEO。这些包在描述中督促用户点击链接获得关于所声称礼品卡码、应用、黑客工具的更多信息。在某些情况下，攻击者会推销虚假的Steam 礼品卡生成器、Play Station Network 电子礼品卡码、Play Store 信用、Instagram 粉丝生成器、YouTube 订阅用户生成器等。几乎所有的这些站点都要求访问人员输入邮件、用户名和账户密码，而这就是钓鱼攻击开始的地方。

这些虚假站点具有一个和合法的免费生成器相似的元素，但当访客尝试使用时却提示需要“人类验证”。随后触发到调查网站的一系列重定向，最终落在使用附属链接的合法电商网站上，而这就是攻击者获利的方式。当然，被盗的游戏账户凭据、邮件和社交媒体用户名也可变现，因为它们一般是捆绑的并被在黑客论坛和暗网市场出售。然而，考虑到攻击者自动化上传如此多的程序包，因此他们随时可能使用新账户和不同的包名称重新引入该威胁。

可参照IoC 文本文件，获取完整的URL清单：https://gist.github.com/jossef/77c4fd00fccf68b56d76a36c79799ca1

题图：Pexels License‍

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~