Repository e open source sono i protagonisti di questa storia, nati per “fare del bene” nel mondo informatico, spesso sono usati per “fare del male”, ma andiamo con ordine.
Gli ecosistemi NuGet, PyPi e npm sono l’obiettivo di una nuova campagna che ha portato alla pubblicazione di oltre 144.000 pacchetti malevoli da parte di autori ignote, le minacce informatiche in questione, tra l’altro, sono perlopiù sconosciute.
“I pacchetti [immessi in queste piattaforme] facevano parte di un nuovo vettore di attacco, con gli aggressori che inviavano spam agli ecosistemi open source con pacchetti contenenti collegamenti a link di phishing“, hanno affermato i ricercatori di Checkmarx e Illustria in un rapporto pubblicato mercoledì.
Dei 144.294 pacchetti correlati al phishing rilevati tra questi repository, 136.258 sono stati pubblicati su NuGet, 7.824 su PyPi e 212 su npm. Da allora le biblioteche incriminate sono state cancellate o rimosse.
Ulteriori analisi hanno rivelato che l’intero processo è stato automatizzato e che i pacchetti sono stati inviati in un breve lasso di tempo, con la maggior parte dei nomi utente che seguono la convenzione “<a-z><1900-2022>”.
Cosa contengono di malevolo questi repository?
Gli stessi pacchetti falsi affermavano di fornire hack, cheat e risorse gratuite nel tentativo di indurre gli utenti a scaricarli. Gli URL delle pagine di phishing canaglia sono stati incorporati nella descrizione del pacchetto.
In totale, la massiccia campagna comprendeva più di 65.000 URL univoci su 90 domini.
“Gli autori delle minacce [informatiche] dietro questa campagna probabilmente volevano migliorare l’ottimizzazione per i motori di ricerca (SEO) dei loro siti di phishing collegandoli a siti Web legittimi come NuGet“, hanno affermato i ricercatori. “Ciò evidenzia la necessità di essere cauti durante il download dei pacchetti e di utilizzare solo fonti attendibili“.
Purtroppo è una pratica sempre più frequente quella di usare fonti (almeno in apparenza) legittime, di fatto spesso legittime lo sono, peccato che non ci possa essere un controllo stretto dei repository inseriti anche per la natura degli stessi ecosistemi open source.
Tuttavia, queste pagine ingannevoli e ben progettate pubblicizzavano codici Discord Nitro, hack di giochi, “denaro gratuito” per account Cash App, buoni regalo e un aumento dei follower su piattaforme di social media come YouTube, TikTok e Instagram.
I siti, come accade in genere, non offrono i premi promessi, ma richiedono agli utenti di inserire i propri indirizzi e-mail e completare sondaggi, prima di reindirizzarli a legittimi siti di e-commerce tramite un link di affiliazione per generare entrate illecite da referral.
L’infezione tramite repository malevoli di NuGet, PyPi e npm con pacchetti fabbricati illustra ancora una volta i metodi in evoluzione utilizzati dagli attori delle minacce per attaccare la catena di fornitura del software.
“L’automazione del processo ha inoltre consentito agli aggressori di creare un gran numero di account utente, rendendo difficile risalire alla fonte dell’attacco”, hanno affermato i ricercatori. “Questo dimostra la raffinatezza e la determinazione di questi aggressori, disposti a investire risorse significative per portare a termine questa campagna“.
“Amo molto l’open source e navigo spesso tramite questi repository, come posso proteggermi?”
Anzitutto facendo attenzione, in questo caso specifico non è tuttavia facile come al solito, perché paradossalmente prende di mira utenti un poco più esperti rispetto al solito.
Esistono, per fortuna, varie piattaforme e varie applicazioni che possono venire incontro.
Se dovessi scaricare un file strano puoi sempre provare l’antimalware Malwarebytes su Windows o su Android in particolar modo, o il sito Virus Total, di cui abbiamo parlato tempo fa.
C’è anche da dire che i link ingannevole trascendono i sistemi operativi, perché il furto di dati può avvenire tramite browser, poi i browser basati su Chromium sono più vulnerabili a riguardo, per aggirare il problema e se temi qualche ripercussioni esistono VPN e servizi di mail temporanee.
Detto questo, buona navigazione e ricorda sempre che “i problemi sono tra la sedia e la tastiera”.
