用于分发网络钓鱼链接的npm包

据观察，威胁行为者在数小时内从多个用户帐户将超过1.5万个垃圾邮件包上传到 npm 开源 JavaScript 存储库。

这一说法来自JavaScript开发人员Jesse Mitchell，他周二在Twitter上发布了有关这些声明的信息。

Mitchell写道：“我一直注意到对npm的垃圾邮件攻击。数以万计的包裹充斥着注册表并占据了首页。“

然后，Checkmarx网络安全专家Yehuda Gelb进一步分析了调查结果，并在周二发布的公告中进行了讨论。

Gelb解释说：“进一步的调查发现了一种反复出现的攻击方法，其中网络攻击者利用垃圾邮件技术在开源生态系统中充斥着包含其 readme.md 文件中网络钓鱼活动链接的软件包。”

安全研究人员表示，恶意包是使用自动化流程创建的，这些流程还自动生成项目描述和彼此相似的名称。

Checkmarx公告中写道：“这些软件包似乎包含用于生成这些软件包的相同自动化代码，可能是攻击者错误上传的。生成脚本还包括攻击者在攻击流中使用的有效凭据。”

根据Gelb的说法，该活动背后的威胁行为者使用推荐ID引用零售网站，以从他们获得的推荐奖励中获利。

安全研究人员写道：“在调查网络钓鱼网站时，我们注意到其中一些网站重定向到带有推荐ID的电子商务网站。这突显了参与此类网络钓鱼活动的威胁行为者的潜在经济收益。”

Gelb还表示，该恶意活动背后的攻击者似乎与 2022 年12月检测到的先前垃圾邮件攻击 Checkmarx 相同。

Gelb说：“与毒害我们软件供应链生态系统的威胁行为者的斗争仍然是一场具有挑战性的斗争，因为攻击者不断适应并以新的和意想不到的技术给行业带来惊喜。通过共同努力，我们可以领先攻击者一步，并保持生态系统的安全。”

Checkmarx咨询是在ReversingLabs发现使用域名仿冒技术的npm上的恶意软件包几周后发布的。