Campanha de phishing automatizada explora infraestrutura legítima do npm

Uma nova campanha de phishing está a permitir que cibercriminosos tirem partido de infraestrutura legítimas de npm, envolvendo 175 pacotes npm, responsáveis por mais de 26 mil downloads.

Por detrás dos mais recentes ataques, que têm como alvo o ecossistema npm, está o código malicioso injetado em pacotes que afetam programadores e utilizadores. A campanha, designada Beamglea, recorre ao uso de pacotes de forma maliciosa para abusar da legitimidade do CDN service unpkg[.]com e, assim, entregar páginas disfarçadas de phishing aos utilizadores.

De acordo com Paul McCarty, investigador de segurança da Safety, no final de setembro eram 120 os pacotes utilizados nestes ataques; entretanto, o número atingiu já os 175, com mais de 26 mil downloads. Entre as mais de 135 organizações visadas encontram-se empresas do setor de energia, indústria e tecnologia a nível global, distribuídas pela Europa Ocidental e do norte e na Ásia-Pacífico.

Os cibercriminosos recorreram a ferramentas Python para automatizar e agilizar a campanha. Esta automação recebe três imputs: um arquivo de modelo JavaScript, designado beamglea_template.js, o endereço de email da vítima e o URL de phishing. O sistema processa depois estes componentes num processo de várias etapas: o primeiro passa pela verificação de autenticação npm, seguindo-se o processamento do modelo, a criação de pacotes, a publicação e, por fim, lures em HTML.

A automação, sublinha Paul McCarty, “permitiu que os agentes de ameaças criassem 175 pacotes exclusivos direcionados a diferentes organizações sem intervenção manual para cada vítima”. Os agentes de ameaças acabaram por gerar mais de 630 arquivos HTML direcionados a estes pacotes.