В ходе фишинговой кампании под кодовым названием Beamglea злоумышленники опубликовали в публичном реестре npm 175 вредоносных пакетов. Операция, проведенная с использованием девяти аккаунтов, была нацелена на кражу учетных данных Microsoft у сотрудников более чем 135 промышленных, технологических и энергетических компаний по всему миру. Расследованием инцидента занималась фирма по кибербезопасности Socket.
Ключевая особенность атаки заключается в нетипичном использовании легитимной инфраструктуры. Вредоносные пакеты, опубликованные в npm, абсолютно безвредны при установке разработчиком. Их код не предназначен для выполнения на сервере или в среде разработки. Вместо этого злоумышленники использовали npm и связанную с ним сеть доставки контента (CDN) в качестве бесплатной и отказоустойчивой платформы для размещения скриптов, перенаправляющих жертв на фишинговые страницы.
Кампания была впервые замечена в конце прошлого месяца исследователем Полом Маккарти из компании Safety. Дальнейший анализ, проведенный специалистом по безопасности Кушем Пандьей из Socket, выявил полную схему атаки и ее масштабы. Общее число загрузок опубликованных пакетов достигло 26 000, однако эта цифра включает в себя активность сканеров безопасности и исследователей.
Для автоматизации своей деятельности злоумышленники использовали Python-скрипт под названием
Атака начиналась с отправки жертве специально созданного HTML-файла. Было обнаружено более 630 таких файлов, замаскированных под деловые документы, например, заказы на покупку или проектную документацию. Внутри HTML-кода содержалась ссылка на JavaScript-файл
Когда жертва открывала HTML-файл в своем браузере, тот автоматически загружал и выполнял скрипт
Для повышения убедительности и снижения бдительности жертвы фишинговая страница использовала переданный в URL-адресе параметр для автоматического заполнения поля логина. Увидев свой собственный, корректно указанный email, пользователь с большей вероятностью вводил пароль, полагая, что находится на настоящем сайте Microsoft.
Данная схема предоставляет злоумышленникам высокоустойчивую и абсолютно бесплатную инфраструктуру. Использование доверенных доменов npm и позволяет обходить традиционные защитные механизмы, которые могут блокировать запросы к неизвестным или подозрительным серверам.
Использование такого подхода демонстрирует эволюцию тактик киберпреступников. Они находят новые способы злоупотребления доверенными публичными сервисами, превращая их в часть своей атакующей инфраструктуры. Эта модель является легко воспроизводимым сценарием, который, вероятно, будет принят на вооружение и другими злоумышленниками.
Изображение носит иллюстративный характер
Ключевая особенность атаки заключается в нетипичном использовании легитимной инфраструктуры. Вредоносные пакеты, опубликованные в npm, абсолютно безвредны при установке разработчиком. Их код не предназначен для выполнения на сервере или в среде разработки. Вместо этого злоумышленники использовали npm и связанную с ним сеть доставки контента (CDN) в качестве бесплатной и отказоустойчивой платформы для размещения скриптов, перенаправляющих жертв на фишинговые страницы.
Кампания была впервые замечена в конце прошлого месяца исследователем Полом Маккарти из компании Safety. Дальнейший анализ, проведенный специалистом по безопасности Кушем Пандьей из Socket, выявил полную схему атаки и ее масштабы. Общее число загрузок опубликованных пакетов достигло 26 000, однако эта цифра включает в себя активность сканеров безопасности и исследователей.
Для автоматизации своей деятельности злоумышленники использовали Python-скрипт под названием
redirect_generator.py. Этот инструмент программно создавал уникальные npm-пакеты, придерживаясь шаблона именования redirect-xxxxxx, где "x" — случайная буквенно-цифровая последовательность. Скрипт встраивал в каждый пакет электронный адрес конкретной жертвы и персонализированный URL-адрес фишингового сайта. Атака начиналась с отправки жертве специально созданного HTML-файла. Было обнаружено более 630 таких файлов, замаскированных под деловые документы, например, заказы на покупку или проектную документацию. Внутри HTML-кода содержалась ссылка на JavaScript-файл
beamglea.js, размещенный на доверенном домене CDN-сервиса unpkg.com. Когда жертва открывала HTML-файл в своем браузере, тот автоматически загружал и выполнял скрипт
beamglea.js с легитимного ресурса . Этот скрипт мгновенно перенаправлял пользователя на фишинговую страницу, имитирующую вход в систему Microsoft. Для повышения убедительности и снижения бдительности жертвы фишинговая страница использовала переданный в URL-адресе параметр для автоматического заполнения поля логина. Увидев свой собственный, корректно указанный email, пользователь с большей вероятностью вводил пароль, полагая, что находится на настоящем сайте Microsoft.
Данная схема предоставляет злоумышленникам высокоустойчивую и абсолютно бесплатную инфраструктуру. Использование доверенных доменов npm и позволяет обходить традиционные защитные механизмы, которые могут блокировать запросы к неизвестным или подозрительным серверам.
Использование такого подхода демонстрирует эволюцию тактик киберпреступников. Они находят новые способы злоупотребления доверенными публичными сервисами, превращая их в часть своей атакующей инфраструктуры. Эта модель является легко воспроизводимым сценарием, который, вероятно, будет принят на вооружение и другими злоумышленниками.
