Resmi NPM paket kayıt defterini taklit eden titizlikle hazırlanmış bir saldırı ile gelişmiş bir kimlik avı kampanyası ortaya çıktı.
Kötü amaçlı işlem, meşru npmjs.com web sitesinin neredeyse aynı kopyasını oluşturmak için “M” harfini “N” ile değiştiren yazım hatalı alan adını kullanır.
Bu saldırı, siber suçluların milyonlarca alt projeyi potansiyel olarak enfekte etmek için yüksek değerli geliştirici hesaplarından ödün vermeye odaklandığı tedarik zinciri hedeflemesinde endişe verici bir evrim olduğunu göstermektedir.
Kimlik avı e -postası güvenilir olanı taklit etti [email protected] Adres ve kurbanları izlemek için tasarlanmış tokenize URL’ler ve potansiyel olarak doldurma öncesi kimlik doğrulama verileri.
.webp)
Hedeflenen yaklaşım, saldırganların haftalık 34 milyon indirme ile paketleri koruyan hedeflenen bir geliştirici tarafından kanıtlandığı gibi, özellikle avcılık paketi bakımını önemli ölçüde avlama sağladığını öne sürüyor.
E -postanın sofistike tasarımı, NPMJS.com’a meşru destek bağlantılarını içeriyordu ve oturum açma girişimlerini kötü amaçlı proxy sitesine yönlendirirken aldatmaya güvenilirlik ekledi.
Socket.DEV araştırmacıları, saldırının altyapısını ortaya çıkaran birden fazla teknik gösterge belirlediler.
Kimlik avı e-postaları, Shosting-s0-n1.nicevps.net aracılığıyla Nice BT müşterileri ağının ev sahipliğinde 45.9.148.108 IP adresinden kaynaklandı.
Bu altyapı, ABUSEIPDB hakkında 27 istismar raporu biriktirdi ve Virustotal ve Cezai IP güvenlik veritabanlarından kötü niyetli bayraklar kazandı.
Teknik Altyapı Analizi
Saldırının Teknik Vakfı, kimlik bilgisi hasat potansiyelini en üst düzeye çıkarırken algılamadan kaçınmak için tasarlanmış dikkatle düzenlenmiş bir kampanya ortaya koyuyor.
SPF, DKIM ve DMARC gibi kimlik doğrulama mekanizmaları başarısız oldu, e -postaların NPM’nin meşru sunucularından gelmediğini doğruladı.
Kimlik avı alanı, NPM web sitesinin tam bir proxy’si olarak çalışır ve https://npnjs.com/login adresinden erişilebilir sahte kimlik doğrulama sayfaları aracılığıyla oturum açma kimlik bilgilerini benzersiz izleme jetonları ile tutar.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi bir deneyin.