Se ha surgido una sofisticada campaña de phishing de Node.js a través de un ataque meticulosamente elaborado que se hace pasar por el registro oficial de paquetes de NPM.
La operación maliciosa utiliza el dominio tipográfico npnjs.com, sustituyendo la letra “m” con “n” para crear una copia casi idéntica del sitio web legítimo npmjs.com.
Este ataque demuestra una evolución alarmante en la orientación de la cadena de suministro, donde los cibercriminales se centran en comprometer las cuentas de desarrolladores de alto valor para infectar potencialmente a millones de proyectos posteriores.
El correo electrónico de phishing falsificó la dirección de confianza (correos electrónicos protegidos) y contenía URL tokenizadas diseñadas para rastrear a las víctimas y potencialmente el relleno de datos de autenticación.
Correo electrónico de phishing (fuente – Socket.dev)
El enfoque objetivo sugiere que los atacantes son específicamente mantenedores de paquetes de caza con un alcance significativo, como lo demuestra un desarrollador objetivo que mantiene paquetes con 34 millones de descargas semanales.
El diseño sofisticado del correo electrónico incluyó enlaces de soporte legítimos a NPMJS.com, agregando credibilidad al engaño al dirigir los intentos de inicio de sesión al sitio de proxy malicioso.
Socket.dev Investigadores identificado Múltiples indicadores técnicos que expusieron la infraestructura del ataque.
Los correos electrónicos de phishing se originaron en la dirección IP 45.9.148.108, alojados por Niza clientes de TI a través de shosting-s0-n1.nicevps.net.
Esta infraestructura ha acumulado 27 informes de abuso sobre abusos y las banderas maliciosas de las bases de datos de seguridad de IP virustotal y criminal.
Análisis de infraestructura técnica
La fundación técnica del ataque revela una campaña cuidadosamente orquestada diseñada para evadir la detección al tiempo que maximiza el potencial de recolección de credenciales.
Los mecanismos de autenticación, incluidos SPF, DKIM y DMARC, todos la validación fallida, confirmando que los correos electrónicos no se originaron en los servidores legítimos de NPM.
El dominio de phishing opera como un proxy completo del sitio web de NPM, replicando sin problemas la interfaz de usuario al interceptar las credenciales de inicio de sesión a través de páginas de autenticación falsas accesibles en https://npnjs.com/login con tokens de seguimiento únicos.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
