Коротко: За пять месяцев злоумышленники превратили 27 пакетов npm в инфраструктуру фишинга, нацелившись на 25 конкретных организаций в производственном секторе и здравоохранении. Пакеты размещали браузерные приманки, выдававшие себя за сервисы обмена документами и страницы входа Microsoft, перенаправляя жертв на контролируемую злоумышленниками систему для сбора учетных данных.
Введение
Недавняя кампания демонстрирует, насколько эффективно злоумышленники могут использовать легитимные программные экосистемы как вектор атак. Вместо типичных методов доставки вредоносного ПО злоумышленники использовали npm не только для распространения кода, но и в качестве хостинга для фишинговых страниц и логики, направленной на сбор учетных данных сотрудников целевых организаций.
Ход кампании
За период в пять месяцев были опубликованы и использованы 27 пакетов npm, которые содержали браузерные приманки и перенаправления. Особенности кампании:
- Целевые секторы: производство и здравоохранение (американские и смежные организации).
- Число нацеленных организаций: 25 конкретных организаций.
- Тип приманки: страницы, маскирующиеся под сервис обмена документами («MicroSecure») и страницы входа Microsoft.
- Механизм доставки: одноразовые (disposable) пакеты npm, используемые как инфраструктура фишинга и перенаправления.
Технические детали и методы социальной инженерии
Фишинговые страницы были тщательно подготовлены: злоумышленники встраивали в содержимое сфабрикованные материалы — профили компаний, запросы предложений и т. п., чтобы повысить доверие жертвы. При этом в URL предварительно заполнялись поля, включая адрес электронной почты целевого пользователя, что делало форму входа выглядящей максимально релевантной и персонализированной.
«Страницы, замаскированные под «MicroSecure», ложно утверждали о передаче документов, повышая вероятность ввода учетных данных» — по оценке авторов отчёта.
Механизмы антианализа
Для уменьшения вероятности автоматического обнаружения и анализа злоумышленники применяли несколько средств уклонения:
- Клиентские проверки на признаки автоматизации: детекции headless-браузеров и нестандартных размеров окна.
- Встроенный honeypot: скрытые поля форм, реагирующие на взаимодействие ботов, что позволяло отличать автоматизированные сканы от реальных пользователей.
- Использование одноразовых пакетов и динамических перенаправлений для затруднения ретроспективного анализа и блокировок.
Сбор учетных данных и дальнейшие действия злоумышленников
После первичного обмана жертвы перенаправлялись на инфраструктуру, контролируемую злоумышленником, где осуществлялся сбор учетных данных и возможный перехват сессий. При этом сами пакеты были сконфигурированы с жестко закодированными адресами электронной почты, что указывает на предварительную целенаправленную разведку и выбор ролей внутри организаций (например, менеджеры по работе с клиентами, представители по развитию бизнеса).
Соответствие MITRE ATT&CK
Поведение кампании коррелирует с несколькими техниками из фреймворка MITRE ATT&CK:
- Компрометация цепочки поставок (Supply Chain Compromise).
- Phishing: Spearphishing Link.
- Разведка и сбор информации (Reconnaissance).
- Методы уклонения и обнаружения песочниц (Evasion / Sandbox Evasion).
- Маскировка и импersonation (Masquerading / Impersonation).
Последствия и оценка рисков
Кампания подчёркивает тенденцию: злоумышленники всё активнее используют легитимные репозитории и менеджеры пакетов как канал для фишинга и компрометации учетных данных. Риски включают:
- Непосредственную утечку учетных данных сотрудников.
- Перехват сессий и дальнейшую эскалацию внутри сети организации.
- Сложности обнаружения из‑за использования легитимных сервисов и антианалитических приёмов.
Рекомендации по защите
Рекомендации для организаций и команд безопасности:
- Внедрить сканирование зависимостей и мониторинг пакетов npm (включая мониторинг недавно опубликованных/одноразовых пакетов).
- Проверять и контролировать использование внешних пакетов в CI/CD и production-окружениях.
- Обучать сотрудников распознаванию целевого фишинга и сомнительных уведомлений о документах.
- Внедрять многофакторную аутентификацию (MFA) для снижения риска компрометации учетных записей при утечке паролей.
- Ограничивать доступы и использовать сегментацию сети для снижения потенциального вреда от скомпрометированных учетных записей.
- Мониторить подозрительные перенаправления и домены; блокировать известные фишинговые домены и IP-адреса на уровне прокси/фильтров.
- Анализировать клиентский JS на предмет проверок anti‑automation и honeypot-полей при подозрительных пакетах.
Вывод
Эта операция ясно демонстрирует, что злоумышленники адаптируются и используют доверенные экосистемы — такие как npm — не только для распространения вредоносного ПО, но и как платформу для сложных фишинговых кампаний. Организациям необходимо обновлять практики управления зависимостями, усиливать контроль за сторонними пакетами и повышать осведомлённость сотрудников, чтобы упреждать подобные угрозы.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Фишинг через npm: целевая кража учётных данных из цепочки поставок".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.