I ricercatori di sicurezza informatica hanno scoperto un’operazione di phishing mirata e sostenuta che ha pubblicato oltre due dozzine di pacchetti sul registro npm per facilitare il furto di credenziali. L’attività, che ha coinvolto l’upload di 27 pacchetti npm da sei diversi alias npm, ha principalmente preso di mira il personale di vendita e commerciale di organizzazioni critiche-adiacenti negli Stati Uniti e in nazioni alleate.
Dettagli dell’attacco
L’operazione, durata cinque mesi, ha trasformato 27 pacchetti npm in hosting per lures eseguibili dal browser che mimano portali di condivisione di documenti e accesso a Microsoft, prendendo di mira 25 organizzazioni in settori come la produzione, l’automazione industriale, la plastica e la sanità per il furto di credenziali. I ricercatori hanno scoperto che i pacchetti incorporano vari controlli sul lato client per sfidare gli sforzi di analisi, tra cui la filtrazione dei bot, l’evitamento delle sandbox e la richiesta di input del mouse o del touch prima di portare le vittime all’infrastruttura di raccolta delle credenziali controllata dagli attaccanti.
Conseguenze e raccomandazioni
Per contrastare il rischio posto dalla minaccia, è essenziale applicare una verifica rigorosa delle dipendenze, registrare richieste CDN insolite da contesti non di sviluppo, applicare un’autenticazione a più fattori resistente al phishing e monitorare eventi sospetti post-autenticazione. Inoltre, è importante essere consapevoli delle tecniche utilizzate dagli attaccanti, come l’esecuzione ritardata e gli interruttori di kill switch remoti, per evitare la rilevazione precoce e recuperare il codice eseguibile in fase di runtime utilizzando strumenti standard come wget e curl.
