کمیته رکن چهارم – محققان امنیت سایبری از یک کمپین فیشینگ هدفمند پرده برداشتهاند که با استفاده از بستههای مخرب منتشرشده در npm، کارکنان فروش و توسعه کسبوکار شرکتهای حساس در کشورهای مختلف را هدف حمله قرار داده است.
به گزارش کمیته رکن چهارم، پژوهشگران امنیت سایبری از اجرای یک عملیات فیشینگ پیچیده و بلندمدت خبر دادهاند که با بهرهگیری از رجیستری npm بهعنوان زیرساختی پنهان، تلاش کردهاند اطلاعات ورود کاربران را سرقت کنند. این کمپین که طی بیش از پنج ماه جریان داشته، شامل انتشار ۲۷ بسته مخرب از طریق شش حساب مختلف بوده و بهطور خاص، کارکنان فروش و تیمهای تجاری سازمانهای فعال در حوزه زیرساختهای حیاتی در کشورهای مختلف را هدف قرار داده است.
بر اساس بررسیهای شرکت Socket، هدف این بستهها نه توسعهدهندگان بلکه استفاده از بستر توزیع محتوای npm بهعنوان یک میزبان مقاوم در برابر حذف بوده است. مهاجمان از طریق فایلهای HTML و جاوااسکریپت که درون این بستهها قرار دادهاند، کاربر را به صفحات جعلی مشابه درگاه ورود مایکروسافت هدایت میکنند. در این صفحات، آدرس ایمیل از پیش وارد شده و همین مسئله احتمال وارد کردن گذرواژه را افزایش میدهد.
این حملات با استفاده از زیرساختهای قانونی مانند CDNها انجام میشوند تا شناسایی آنها دشوارتر گردد. حتی در صورت حذف بستهها، مهاجمان میتوانند سریعاً نسخهای مشابه را با نام یا حساب کاربری دیگر جایگزین کنند. از دیگر تکنیکهای استفادهشده، مبهمسازی شدید کد، شناسایی رباتها و محیطهای مجازی، و استفاده از فیلدهای مخفی در فرمها بوده است.
تحلیلهای بیشتر نشان میدهد برخی دامنههای مورد استفاده در این کمپین با زیرساختهای مبتنی بر حملات «مرد میانی» مانند Evilginx همپوشانی دارند؛ موضوعی که از تلاش مهاجمان برای عبور از احراز هویت چندمرحلهای حکایت دارد.
نگرانی دیگر این است که در کدهای این بستهها، ۲۵ آدرس ایمیل از پیش مشخص شده بهصورت مستقیم درج شدهاند. این ایمیلها به افرادی در نقشهای مدیر حساب، فروش و توسعه کسبوکار در صنایعی نظیر تولید، اتوماسیون صنعتی، پلاستیک و سلامت تعلق دارند. این افراد در کشورهای متعددی از جمله آمریکا، آلمان، بریتانیا، فرانسه، کانادا، اسپانیا، ایتالیا، ترکیه، سوئد و چند کشور دیگر شناسایی شدهاند. بهنظر میرسد منبع این اطلاعات وبسایتهای نمایشگاههای تجاری بینالمللی مانند Interpack و K-Fair بوده باشد.
کارشناسان امنیتی توصیه کردهاند که سازمانها با اعمال کنترلهای سختگیرانهتر بر وابستگیهای نرمافزاری، نظارت بر درخواستهای مشکوک به CDNها در محیطهای غیرتوسعهای، استفاده از احراز هویت مقاوم در برابر فیشینگ و بررسی دقیق رفتار کاربران پس از ورود، با این تهدیدات مقابله کنند.
Socket همچنین نسبت به افزایش بدافزارهای هدفمند در مخازنی نظیر npm، PyPI، NuGet و ماژولهای Go هشدار داده است. این بدافزارها با ویژگیهایی نظیر اجرای تأخیری، کنترل از راه دور و حذف هدفمند منابع حیاتی توسعهدهندگان، تهدیدی فزاینده برای زنجیره تأمین نرمافزار بهشمار میروند.
طی ماههای اخیر، چندین کمپین مشابه مانند Beamglea و PhantomRaven نیز با استفاده از بستههای آلوده در npm سعی در سرقت اطلاعات ورود داشتهاند که نشان میدهد تهدیدات فزایندهای این اکوسیستمها را هدف قرار دادهاند.
