Ataque em larga escala inunda repositórios de código aberto com 144 mil módulos de phishing

A maior parte dos uploads maliciosos estava no repositório NuGet, com 136.258. PyPI teve 7.894 e NPM, apenas 212.

Como os módulos vieram de contas com um padrão de nomenclatura específico, apresentavam descrições semelhantes e levavam ao mesmo cluster de 90 domínios, suspeita-se que o ataque tenha sido automatizado.

A campanha promovia aplicativos falsos, vales-presentes, brindes e, em alguns casos, levava as vítimas a sites de e-commerce legítimos por meio de links de afiliados – uma das técnicas empregadas pelos agentes de ameaça para gerar receita.

Todos os módulos maliciosos foram excluídos do NuGet após o repositório ter sido informado sobre a campanha. No entanto, o método automatizado pode possibilitar uma reintrodução usando novas contas e nomes de módulos diferentes a qualquer momento.