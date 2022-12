Une campagne d'hameçonnage massive bombarde les dépôts de logiciels libres de plus de 144 000 paquets.



Une recherche conjointe menée par les entreprises de cybersécurité Checkmarx et Illustria a révélé une campagne de phishing massive qui a inondé les dépôts de logiciels libres de plus de 144 000 paquets. Contrairement à de nombreuses autres campagnes impliquant la distribution de paquets de logiciels, cette campagne récemment découverte n'a pas tenté de distribuer des paquets contenant des charges utiles malveillantes. Au lieu de cela, les paquets fonctionnaient comme un stratagème pour diriger les utilisateurs vers une chaîne de sites de phishing, d'enquêtes et d'e-commerce.







Les acteurs de la menace ont téléchargé ces paquets de phishing dans trois dépôts de paquets différents : NPM, NuGet et PyPi. Les paquets en question ont été téléchargés par un ensemble de comptes utilisateurs dont les noms suivent un modèle commun, chaque compte publiant le même nombre de paquets, ce qui suggère que la publication de ces paquets a été automatisée.







Les paquets eux-mêmes portaient des noms en rapport avec le piratage, les tricheries et les ressources gratuites, comme les adeptes des médias sociaux ou la monnaie du jeu. La campagne était conçue pour attirer les gens avec ces noms de paquets et tirer parti de la crédibilité des dépôts de paquets légitimes pour inciter les gens à télécharger les paquets. Ces paquets contenaient des liens vers des sites Web présentés comme offrant les mêmes services que ceux annoncés dans les noms des paquets.







Les utilisateurs qui ont ouvert ces liens ont trouvé des sites web qui semblaient offrir les services attendus. Cependant, sous couvert d'offrir ces services, chaque site web demandait aux utilisateurs de saisir leurs identifiants de connexion pour les comptes concernés. Ces invites de connexion apparemment légitimes avaient pour but de voler les informations d'identification des comptes des victimes. Après avoir reçu ces identifiants, les sites Web semblaient traiter ces informations afin de générer les "cadeaux" annoncés, mais demandaient ensuite une "vérification humaine".







Ce prétendu processus de vérification redirigeait les utilisateurs vers une chaîne de divers sites d'enquête, pour finalement les déverser sur des sites de commerce électronique légitimes. Les redirections vers les sites de commerce électronique incluaient des codes de référence dans les URL, ce qui constituait un moyen de monétisation pour les acteurs de la menace à l'origine de cette campagne. Si les victimes effectuaient des achats sur ces sites alors que les codes de recommandation étaient actifs, les acteurs de la menace recevaient des primes de recommandation. Ainsi, la redirection des utilisateurs à partir des sites de phishing originaux servait à la fois de distraction pour le vol des identifiants de connexion des victimes et de schéma d'exploitation secondaire.



Les paquets de phishing incriminés ont depuis été supprimés des référentiels, sauf dans le cas de NuGet, où les paquets ont été retirés de la liste des résultats de recherche du référentiel. Ces paquets non répertoriés sont toujours disponibles, mais ne sont pas facilement accessibles. Les utilisateurs doivent néanmoins rester vigilants lorsqu'ils naviguent dans les dépôts de paquets. La nature automatisée de cette campagne signifie que les acteurs de la menace peuvent très bien mener une campagne de phishing similaire, étant donné la facilité relative avec laquelle ils peuvent le faire.



HOTHARDWARE