针对开源生态系统的威胁行为者的战斗

关键要点

随着威胁行为者继续针对开源生态系统进行攻击，研究人员观察到NPM（全球最大的免费软件注册平台）中的钓鱼软件包突然激增，数量超过15,000个。

这些恶意软件包通过自动化程序创建，旨在在2月20日至21日之间的几个小时内分发钓鱼活动链接。由于是通过多个用户账户进行操作，使得安全团队难以迅速识别和清除这些软件包。Checkmarx的研究员YehudaGelb在周二的中指出。

大量受损软件包使用与游戏作弊、免费资源和社交媒体平台相关的名称，例如“free-tiktok-followers”和“free-xbox-
codes”，以诱骗用户点击链接，并将他们引导到多个设计精美的钓鱼网页上。

进一步调查发现，Checkmarx团队发现一些钓鱼网站将用户引导至带有推荐ID的电子商务网站，包括全球最大的在线零售平台之一AliExpress。

“和许多其他零售网站一样，AliExpress提供推荐计划，奖励会员推荐新客户。如果攻击者将受害者引导到AliExpress，并且他们进行了购买，攻击者的账户将获得以折扣券或商店信用形式的推荐奖励，”Geib解释道。“这突显了参与此类钓鱼活动的威胁行为者获得潜在经济利益的可能性。”

在这种情况下，虽然攻击的后果可能看起来与其他开源漏洞相比并不那么严重，但Geib告诉SC Media，这种策略很容易被调整为在未来造成重大伤害。

“例如，攻击者可以欺骗受害者访问一个的站点，或窃取敏感信息，”Geib说。

此外，他强调了自动化的使用和创建多个用户账户的努力，以掩盖攻击规模，称之为“这些攻击者的复杂性和决心，他们愿意投入大量资源来实施这一活动。”

攻击者一直在不断投资于自动化，以迅速扩大他们的影响力和覆盖面。去年4月，Checkmarx详细介绍了一种名为RED-
LILI的威胁行为者，利用自动创建的用户账户发布恶意NPM软件包的创新技术。深入介绍了这一点。

去年12月，来自，它们通过自动化手段在NuGet、NPM和Pypi上发布，分发钓鱼链接。有趣的是，Geib表示，2月20和21日的攻击似乎是与12月检测到的此类垃圾邮件攻击出自同一攻击者。

“我们相信是同一攻击者，因为他们使用了类似的战术，包括软件包名称的类似模式和类似的营利方式，”Geib解释道。

KnowBe4的防御倡导者Roger Grimes表示，这些明显的攻击开源生态系统的行为并没有让他像那些试图混入其中的攻击者那样感到烦恼。

“尽管被垃圾邮件淹没并不是什么好事，但它会立即被注意并缓解。开源项目更难发现和阻止那些稀有的单次攻击，”他说。

然而，Geib强调了解NPM平台近期垃圾邮件攻击的重要性，因为它突显了攻击者利用开源生态系统信任的[日益增长的趋势](https://www.scworld.com/analysis/devops/open-
source-package