27 злонамерни npm пакети користени како фишинг инфраструктура за кражба на податоци за најава

Истражувачи за сајбер-безбедност објавија детали за она што е опишано како „долготрајна и насочена“ spear‑phishing кампања, во која биле објавени повеќе од дваесет пакети во npm регистарот со цел олеснување на кражба на кориснички податоци.

Активноста, која вклучувала прикачување на 27 npm пакети од шест различни npm алијаси, првенствено била насочена кон продажен и комерцијален персонал во организации поврзани со критична инфраструктура во САД и сојузничките земји, според Socket.

„Петмесечна операција претвори 27 npm пакети во издржлива хостинг‑инфраструктура за мамки што се извршуваат во прелистувач, имитирајќи портали за споделување документи и Microsoft најава, насочувајќи 25 организации од секторите производство, индустриска автоматизација, пластика и здравство со цел кражба на акредитиви,“ изјавија истражувачите Николас Андерсон и Кирил Бојченко.

Имињата на пакетите се наведени подолу:

adril7123
ardril712
arrdril712
androidvoues
assetslush
axerification
erification
erificatsion
errification
eruification
hgfiuythdjfhgff
homiersla
houimlogs22
iuythdjfghgff
iuythdjfhgff
iuythdjfhgffdf
iuythdjfhgffs
iuythdjfhgffyg
jwoiesk11
modules9382
onedrive-verification
sarrdril712
scriptstierium11
secure-docs-app
sync365
ttetrification
vampuleerl

Наместо да бараат од корисниците да ги инсталираат пакетите, крајната цел на кампањата е да се злоупотребат npm и мрежите за испорака на содржина (CDN) на пакетите како хостинг инфраструктура. Тие се користат за испорака на HTML и JavaScript мамки на страната на клиентот, кои имитираат безбедно споделување документи и се вметнати директно во фишинг‑страници. Потоа жртвите се пренасочуваат кон Microsoft страници за најава, каде што адресата на е‑пошта е однапред пополнета во формуларот.

Користењето на CDN‑ови за пакети нуди неколку предности, а најважната е можноста легитимна услуга за дистрибуција да се претвори во инфраструктура отпорна на отстранување. Дополнително, им овозможува на напаѓачите лесно да се префрлат на други издавачки алијаси и имиња на пакети, дури и ако библиотеките бидат отстранети.

Откриено е дека пакетите вклучуваат различни проверки на страната на клиентот за да се отежне анализата, вклучувајќи филтрирање на ботови, избегнување sandbox‑околини и барање внес со глувче или допир пред жртвите да бидат однесени кон инфраструктура за собирање акредитиви контролирана од напаѓачите. JavaScript кодот е исто така обфускиран или силно минифициран за да се отежне автоматската инспекција.

Друга клучна анти‑аналитичка мерка што ја користи напаѓачот е употребата на honeypot полиња во формуларите, кои се скриени од вистинските корисници, но најверојатно ќе бидат пополнети од автоматизирани crawler‑и. Овој чекор служи како втор слој на одбрана, спречувајќи нападот да продолжи понатаму.

Socket соопшти дека домените вградени во овие пакети се преклопуваат со adversary‑in‑the‑middle (AitM) фишинг инфраструктура поврзана со Evilginx, open‑source фишинг алатка.

Ова не е првпат npm да биде претворен во фишинг инфраструктура. Уште во октомври 2025 година, компанијата за безбедност на софтверскиот синџир на снабдување опиша кампања наречена Beamglea, во која непознати заканувачки актери прикачија 175 злонамерни пакети за напади за собирање акредитиви. Се проценува дека најновиот бран напади е различен од Beamglea.

„Оваа кампања ја следи истата основна шема, но со поинакви механизми за испорака,“ изјави Socket. „Наместо испорака на минимални redirect‑скрипти, овие пакети обезбедуваат самостоен фишинг тек што се извршува во прелистувач, како вградена HTML и JavaScript целина што се активира при вчитување во контекст на веб‑страница.“

Покрај тоа, утврдено е дека фишинг пакетите имаат хардкодирани 25 адреси на е‑пошта поврзани со конкретни лица кои работат како account менаџери, продажба и претставници за бизнис‑развој во секторите производство, индустриска автоматизација, пластика и полимери, како и здравство, во Австрија, Белгија, Канада, Франција, Германија, Италија, Португалија, Шпанија, Шведска, Тајван, Турција, Обединетото Кралство и САД.

Моментално не е познато како напаѓачите ги набавиле адресите на е‑пошта. Но, со оглед на тоа што многу од целните компании учествуваат на големи меѓународни саеми, како Interpack и K‑Fair, се сомнева дека заканувачките актери можеби ги извлекле информациите од овие веб‑страници и ги комбинирале со општо извидување од отворени веб‑извори. „Во неколку случаи, локациите на целите се разликуваат од корпоративните седишта, што е во согласност со фокусот на заканувачот на регионален продажен персонал, менаџери по држави и локални комерцијални тимови, наместо исклучиво на корпоративниот ИТ,“ соопшти компанијата.

За да се намали ризикот што го носи оваа закана, неопходно е да се спроведе строга проверка на зависности, да се евидентираат невообичаени CDN‑барања од контексти надвор од развојната средина, да се примени MFA отпорна на фишинг и да се следат сомнителни настани по автентикација.

Овој развој доаѓа во време кога Socket соопшти дека забележува постојан пораст на деструктивен малициозен софтвер низ npm, PyPI, NuGet Gallery и Go модул индексите, при што се користат техники како одложено извршување и далечински контролирани „kill switch“ механизми за избегнување рано откривање, како и преземање извршен код во време на извршување со стандардни алатки како wget и curl.

„Наместо да ги енкриптираат дисковите или неселективно да уништуваат датотеки, овие пакети имаат тенденција да работат хируршки,“ изјави истражувачот Куш Пандија.

„Тие го бришат само она што им е најважно на развивачите: Git репозиториуми, директориуми со изворен код, конфигурациски датотеки и излези од CI билдови. Често ја вметнуваат оваа логика во инаку функционални код‑патишта и се потпираат на стандардни lifecycle hook‑ови за извршување, што значи дека малициозниот софтвер можеби никогаш нема потреба експлицитно да биде увезен или повикан од самата апликација.“

Извори:

• The Hacker News – 27 Malicious npm Packages Used as Phishing Infrastructure to Steal Login Credentials The Hacker News