Cybersecurity-onderzoekers hebben een nieuwe reeks van 175 kwaadaardige pakketten in het npm-register gemarkeerd die zijn gebruikt om aanvallen op het verzamelen van inloggegevens mogelijk te maken als onderdeel van een ongebruikelijke campagne.
De pakketten zijn gezamenlijk 26.000 keer gedownload en fungeren als infrastructuur voor een wijdverbreide phishing-campagne met de codenaam Beamglea Volgens Socket richt het zich op meer dan 135 industriële, technologie- en energiebedrijven over de hele wereld.
“Hoewel de willekeurige namen van de pakketten onbedoelde installatie door ontwikkelaars onwaarschijnlijk maken, omvatten de downloadaantallen waarschijnlijk beveiligingsonderzoekers, geautomatiseerde scanners en CDN-infrastructuur die de pakketten analyseren na openbaarmaking”, aldus beveiligingsonderzoeker Kush Pandya.
Het is gebleken dat de pakketten het openbare register van npm en het CDN van unpkg.com gebruiken om omleidingsscripts te hosten die slachtoffers naar pagina’s voor het verzamelen van inloggegevens leiden. Sommige aspecten van de campagne werden eind vorige maand voor het eerst opgemerkt door Paul McCarty van Safety.
Concreet wordt de bibliotheek uitgerust met een Python-bestand met de naam “redirect_generator.py” om programmatisch een npm-pakket te maken en te publiceren met de naam “redirect-xxxxxx”, waarbij “x” verwijst naar een willekeurige alfanumerieke reeks. Het script injecteert vervolgens het e-mailadres van het slachtoffer en de aangepaste phishing-URL in het pakket.
Zodra het pakket live is in het npm-register, gaat de “malware” verder met het maken van een HTML-bestand met een verwijzing naar de UNPKG CDN die is gekoppeld aan het nieuw gepubliceerde pakket (bijvoorbeeld “unpkg(.)com/[email protected]/beamglea.js”). De bedreigingsacteur zou misbruik maken van dit gedrag om HTML-payloads te verspreiden die, wanneer ze worden geopend, JavaScript laden vanaf het UNPKG CDN en het slachtoffer omleiden naar pagina’s voor het verzamelen van Microsoft-gegevens.
Het JavaScript-bestand “beamglea.js” is een omleidingsscript dat het e-mailadres van het slachtoffer bevat en de URL waarnaar het slachtoffer wordt genavigeerd om zijn inloggegevens vast te leggen. Socket zei dat het meer dan 630 HTML-bestanden heeft gevonden die zich voordoen als inkooporders, technische specificaties of projectdocumenten.
Met andere woorden: de npm-pakketten zijn niet ontworpen om tijdens de installatie kwaadaardige code uit te voeren. In plaats daarvan maakt de campagne gebruik van npm en UNPKG voor het hosten van de phishing-infrastructuur. Het is momenteel niet duidelijk hoe de HTML-bestanden worden gedistribueerd, hoewel het mogelijk is dat ze worden verspreid via e-mails die de ontvangers ertoe verleiden de speciaal vervaardigde HTML-bestanden te starten.
“Wanneer slachtoffers deze HTML-bestanden in een browser openen, wordt JavaScript onmiddellijk doorgestuurd naar het phishing-domein terwijl het e-mailadres van het slachtoffer via een URL-fragment wordt doorgegeven”, aldus Socket.
“De phishing-pagina vult vervolgens het e-mailveld vooraf in, waardoor de indruk wordt gewekt dat het slachtoffer toegang heeft tot een legitiem inlogportaal dat hem al herkent. Deze vooraf ingevulde inloggegevens verhogen het succespercentage van de aanval aanzienlijk door de verdenking van het slachtoffer te verminderen.”
De bevindingen benadrukken nogmaals de steeds evoluerende aard van dreigingsactoren die voortdurend hun technieken aanpassen om verdedigers voor te blijven, die ook voortdurend nieuwe technieken ontwikkelen om ze te detecteren. In dit geval onderstreept het het misbruik van legitieme infrastructuur op grote schaal.
“Het npm-ecosysteem wordt een onbewuste infrastructuur in plaats van een directe aanvalsvector”, zei Pandya. “Ontwikkelaars die deze pakketten installeren, zien geen kwaadaardig gedrag, maar slachtoffers die speciaal vervaardigde HTML-bestanden openen, worden doorgestuurd naar phishing-sites.”
“Door 175 pakketten over 9 accounts te publiceren en het genereren van slachtofferspecifieke HTML te automatiseren, creëerden de aanvallers een veerkrachtige phishing-infrastructuur die niets kost om te hosten en gebruik te maken van vertrouwde CDN-services. De combinatie van het open register van npm, de automatische weergave van unpkg.com en minimale code creëert een reproduceerbaar speelboek dat andere bedreigingsactoren zullen overnemen.”
