هشدار درباره حملات فیشینگ با بسته‌های مخرب npm علیه کارکنان فروش

از /

بسته‌های مخرب npm و تهدید امنیتی جدید

پژوهشگران امنیت سایبری اعلام کردند که مهاجمان با سوءاستفاده از رجیستری npm، کمپین فیشینگ هدفمندی را علیه کارکنان فروش و بخش‌های تجاری شرکت‌های حساس در کشورهای مختلف اجرا کرده‌اند. این بسته‌های مخرب نه تنها ابزار توسعه نیستند، بلکه به عنوان زیرساختی برای سرقت اعتبارنامه و اجرای حملات سایبری طراحی شده‌اند.

جزئیات کمپین فیشینگ با npm

بر اساس گزارش شرکت Socket، این عملیات بیش از پنج ماه ادامه داشته و شامل انتشار ۲۷ بسته مخرب از طریق شش حساب کاربری مختلف در npm بوده است. مهاجمان با استفاده از شبکه توزیع محتوای npm، فایل‌های HTML و جاوااسکریپت جعلی را بارگذاری کرده‌اند که ظاهر آن‌ها مشابه صفحات ورود مایکروسافت یا درگاه‌های اشتراک‌گذاری اسناد است. قربانیان پس از تعامل با این صفحات، به فرم ورود هدایت می‌شوند که آدرس ایمیل از پیش در آن وارد شده است؛ روشی که احتمال فریب کاربر و وارد کردن گذرواژه را افزایش می‌دهد.

مهاجمان با بسته‌های مخرب npm به سراغ کارکنان فروش رفتند
مهاجمان با بسته‌های مخرب npm به سراغ کارکنان فروش رفتند

تکنیک‌های پیشرفته مهاجمان

تحلیل‌ها نشان می‌دهد کدهای این بسته‌ها به شدت مبهم‌سازی شده و از روش‌های مختلفی برای فرار از تحلیل استفاده می‌کنند؛ از جمله:

  • شناسایی ربات‌ها و محیط‌های سندباکس
  • الزام به حرکت موس یا لمس صفحه برای ادامه فرآیند
  • استفاده از فیلدهای مخفی در فرم‌ها برای جلوگیری از شناسایی توسط خزنده‌ها

برخی دامنه‌های مرتبط با این بسته‌ها با زیرساخت‌های فیشینگ مبتنی بر حمله «مرد میانی» و ابزار Evilginx هم‌پوشانی دارند که نشان‌دهنده استفاده مهاجمان از تکنیک‌های پیشرفته برای دور زدن احراز هویت چندمرحله‌ای است.

هدف‌گیری کارکنان فروش و صنایع حساس

در کد این بسته‌ها، ۲۵ آدرس ایمیل مشخص به‌صورت هاردکد شده وجود دارد که متعلق به افراد واقعی در سمت‌های فروش، توسعه کسب‌وکار و مدیریت حساب در صنایع تولیدی، اتوماسیون صنعتی، پلاستیک و پلیمر و حوزه سلامت است. این افراد در کشورهایی مانند آمریکا، بریتانیا، آلمان، فرانسه، کانادا، ایتالیا، اسپانیا، سوئد و ترکیه فعالیت دارند. کارشناسان معتقدند تمرکز مهاجمان بیشتر بر کارکنان فروش منطقه‌ای و تیم‌های تجاری محلی بوده است؛ موضوعی که با ماهیت حملات فیشینگ هدفمند همخوانی دارد.

توصیه‌های امنیتی برای مقابله با بسته‌های مخرب npm

متخصصان امنیتی برای مقابله با این تهدیدات پیشنهاد می‌کنند:

  • اعمال کنترل‌های سخت‌گیرانه بر وابستگی‌های نرم‌افزاری
  • نظارت بر درخواست‌های غیرعادی به CDNها در محیط‌های غیردولوپری
  • استفاده از احراز هویت چندمرحله‌ای مقاوم در برابر فیشینگ
  • پایش دقیق فعالیت‌های مشکوک پس از ورود کاربران

افزایش بدافزار در اکوسیستم‌های نرم‌افزاری

Socket هشدار داده است که روند انتشار بدافزار در اکوسیستم‌های نرم‌افزاری مانند npm، PyPI، NuGet و Go رو به افزایش است. این بدافزارها اغلب با اجرای تأخیری، کنترل از راه دور و دانلود کد در زمان اجرا، تلاش می‌کنند از شناسایی اولیه فرار کنند. برخلاف حملات سنتی، هدف آن‌ها تخریب کورکورانه نیست، بلکه حذف دقیق دارایی‌های حیاتی توسعه‌دهندگان مانند مخازن Git و فایل‌های پیکربندی است؛ اقدامی که می‌تواند ضربه‌ای جدی به زنجیره تأمین نرم‌افزار وارد کند.

جمع‌بندی

گزارش‌های اخیر از جمله کمپین‌های Beamglea و PhantomRaven نشان می‌دهد خطر سوءاستفاده از بسته‌های npm و زیرساخت‌های توزیع محتوا همچنان رو به افزایش است. توسعه‌دهندگان و سازمان‌ها باید هوشیاری بیشتری داشته باشند و با اتخاذ راهکارهای امنیتی پیشرفته، از دارایی‌های حیاتی خود در برابر این تهدیدات محافظت کنند.

مجله خبری هک و امنیت

هشدار جدی به کاربران: تروجان واتساپ، سرمایه‌های بانکی و رمزارز شما را تهدید می‌کند
روزنامه آلمانی: غرب در حال آماده‌سازی حمله سایبری علیه زیرساخت‌های روسیه است
افزایش نگران‌کننده حملات فیشینگ؛ راهنمای جامع مقابله و بازیابی اطلاعات برای کاربران فضای مجازی

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پیمایش به بالا