СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
10.10.2025
#Dev#ИБ#Инфра

175 вредоносных пакетов npm: фишинг через CDN unpkg.com

175 вредоносных пакетов npm: фишинг через CDN unpkg.com

Источник: socket.dev

Возникла серьезная угроза кибербезопасности: исследователи обнаружили 175 вредоносных пакетов npm, которые использовались не для запуска вредоносного кода при установке, а как инфраструктура бесплатного хостинга для масштабных фишинг-атак. Кампания затронула более 135 организаций в различных секторах — от промышленности до IT и энергетики — а суммарное количество загрузок пакетов превысило 26 000.

Суть атаки

Злоумышленники размещали фишинговые ресурсы через легальный CDN — unpkg.com, избегая расходов на собственные серверы и SSL-сертификаты. HTML-файлы в пакетах были запрограммированы на загрузку JavaScript из unpkg.com, который и инициировал перенаправление браузера на страницы фишинга с заранее подставленными учетными данными.

«Этот метод позволяет страницам фишинга предварительно заполнять регистрационные формы электронной почтой жертвы, что повышает достоверность атаки.»

Технические детали и используемые инструменты

  • Злоумышленники разработали автоматизированные инструменты, включая скрипты на Python, для работы с множеством пакетов. В частности использовался скрипт redirect_generator.py.
  • Для автоматизации и скрытия логики применялись исполняемые файлы, скомпилированные с помощью PyInstaller.
  • Важный трюк — манипуляция адресом электронной почты жертвы через фрагмент URL (часть после #). Этот фрагмент не отправляется веб-серверам при стандартном HTTP-запросе, но доступен в браузере и позволяет подставлять email в формы на фишинговой странице.
  • Инфраструктура использовала HTML-файлы, загружающие JavaScript из unpkg.com; именно этот JavaScript и выполнял перенаправление на фишинговые домены с учетными данными.

Масштаб и целенаправленность

  • Атака опиралась на семь различных доменных имен для фишинга, что указывает на хорошо скоординированную кампанию и попытки обойти блокировки.
  • Особенно часто появлялась одна цель: хорватская промышленная организация, адрес которой встречался в 19 различных пакетах — по адресу sraka@hust.hr. Это говорит либо о целенаправленной атаке, либо о долгосрочном преследовании конкретной организации.

Признаки долгосрочного планирования

В некоторых пакетах обнаружена документация, в частности файл cdn_setup_guide.txt, описывающий создание независимой инфраструктуры хостинга с использованием VPS и Nginx. Это свидетельствует о намерении со временем снизить зависимость от unpkg.com и развернуть собственные ресурсы для фишинга.

Соответствие известным методикам

Тактика злоумышленников согласуется с методологией MITRE ATT&CK T1195.002 — компрометацией цепочки поставок программного обеспечения (Software Supply Chain). Фактически, безопасные и доверенные инструменты распространения ПО были переориентированы на доставку фишинга.

Рекомендации по защите

  • Проводить регулярный аудит зависимостей и сканирование npm-пакетов перед их использованием в проекте;
  • Ограничивать установку пакетов только из доверенных источников и использовать allowlist/denylist;
  • Мониторить обращения к внешним CDN (включая unpkg.com) и анализировать загружаемые скрипты;
  • Внедрять многофакторную аутентификацию (MFA) и политику сильных паролей для сервисов, куда потенциально могут быть перенаправлены жертвы;
  • Блокировать и проверять подозрительные домены и URL, а также отслеживать повторяющееся появление целевых адресов электронной почты в пакетах;
  • При обнаружении злоупотреблений — уведомлять платформы (npm, unpkg.com) и соответствующие CERT/команды реагирования.

Вывод

Описание этой кампании иллюстрирует, насколько изобретательно злоумышленники могут злоупотреблять легитимными инструментами разработки и доставки ПО для организации фишинга. Комбинация автоматизации (redirect_generator.py, PyInstaller), использования CDN и манипуляции URL-фрагментами делает такую угрозу труднее выявляемой. Это подчеркивает необходимость постоянной бдительности, строгой гигиены использования зависимостей и своевременных мер защиты в средах разработки и развертывания программного обеспечения.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: