De nouvelles campagnes de phishing utilisent des paquets npm malveillants
Des
chercheurs de ReversingLabs ont signalé plusieurs paquets npm malveillants
trouvés dans le référentiel open-source qui ont été utilisés dans des attaques
de la chaîne d'approvisionnement et des campagnes de phishing. Ces paquets
représentent une double menace, car ils n'impactent pas seulement les
utilisateurs finaux d'applications, mais soutiennent également des attaques de
phishing par email, ciblant principalement les utilisateurs de Microsoft 365.
Lucija
Valentić, chercheur en menaces logicielles, a révélé que l'équipe de recherche
a découvert plus d'une douzaine de paquets npm malveillants postés entre le 11
mai et le 13 juin. Ces paquets imitaient habilement des modules légitimes, y
compris des modules populaires comme jquery, qui comptent des millions de
téléchargements hebdomadaires. Bien que les paquets malveillants aient été
téléchargés environ 1 000 fois, ils ont été rapidement supprimés de npm une
fois détectés.
ReversingLabs
a baptisé cette campagne "Operation Brainleeches" en raison de
l'infrastructure malveillante utilisée pour faciliter le vol des données des
victimes. La campagne peut être divisée en deux parties. Dans la première
partie, six paquets exclusivement utilisés dans des attaques de phishing ont
été identifiés. Ces paquets étaient liés à des campagnes d'hameçonnage qui
récoltaient des données d'utilisateurs par le biais de formulaires de connexion
Microsoft.com trompeurs transmis par des pièces jointes malveillantes.
La
deuxième partie comprenait sept paquets destinés à des campagnes d'hameçonnage
par courrier électronique et à des attaques de la chaîne d'approvisionnement en
logiciels. L'objectif de ces paquets était d'implanter des scripts de collecte
d'informations d'identification dans des applications qui incorporaient à leur
insu les paquets npm malveillants.
L'analyse
de ReversingLabs a montré que les paquets npm malveillants jouaient un rôle
dans les attaques de phishing en cours, probablement menées par des personnes
moins qualifiées. Bien que la portée totale de l'attaque de la chaîne
d'approvisionnement reste incertaine, l'utilisation de code obscurci et
l'invocation de noms de paquets populaires tels que jquery soulèvent des
inquiétudes quant à des compromissions potentielles.