Forscher von Checkmarx warnen davor, dass Angreifer mehr als 15.000 Pakete auf NPM, das Open-Source-Repository für JavaScript-Pakete, hochgeladen haben, um Phishing-Links zu verteilen. Die Pakete selbst waren nicht bösartig, aber sie enthielten README-Textdateien mit Links zu Phishing-Sites.
„Die Angreifer verwendeten eine große Anzahl von Paketen mit Namen im Zusammenhang mit Hacking, Cheats und kostenlosen Ressourcen, um für ihre Phishing-Kampagne zu werben“, schreiben die Forscher. „Einige der Paketnamen enthielten ‚free-tiktok-followers‘, ‚free-xbox-codes‘ und ‚instagram-followers-free‘. Diese Namen wurden entwickelt, um Benutzer dazu zu verleiten, die Pakete herunterzuladen und auf die Links zu den Phishing-Sites zu klicken. Die Beschreibungen aller Pakete, die wir gefunden haben, enthielten Links zu Phishing-Seiten.“
Die Websites versuchen, Zugangsdaten zu stehlen, bevor sie die Benutzer auf legitime Einzelhandels-Websites leiten, was den Betrügern Empfehlungsprämien einbringt.
„Die Nachrichten in diesen Paketen versuchen, die Leser dazu zu verleiten, auf Links zu klicken, die Spiele-Cheats, kostenlose Ressourcen und mehr Follower und Likes auf Social-Media-Plattformen wie TikTok und Instagram versprechen“, schreiben die Forscher. „Die Phishing-Kampagne war mit vielen eindeutigen URLs in vielen Domänen verknüpft, wobei jede Domäne mehrere Phishing-Webseiten unter verschiedenen Pfaden hostete.
„Die betrügerischen Webseiten sind gut gestaltet und enthalten in einigen Fällen sogar gefälschte interaktive Chats, die den Anschein erwecken, als würden Benutzer die Spiel-Cheats oder Follower erhalten, die ihnen versprochen wurden“, schreiben die Forscher. „Diese Chats werden sogar auf Nachrichten antworten, wenn der Leser teilnehmen möchte, aber diese sind alle automatisiert und fabriziert. Dies unterstreicht die Notwendigkeit zur Vorsicht bei der Interaktion mit Links in Paketen und die Wichtigkeit, nur vertrauenswürdige Quellen zu verwenden.“
Neue Schulungen zum Sicherheitsbewusstsein können Ihren Mitarbeitern beibringen, Social-Engineering-Taktiken zu erkennen, damit sie nicht auf Phishing-Angriffe hereinfallen.
Checkmarx hat die Geschichte .
Kostenloser Phishing-Sicherheitstest
Würden Ihre Benutzer auf überzeugende Phishing-Angriffe hereinfallen? Machen Sie jetzt den ersten Schritt und finden Sie es heraus, bevor es Cyberkriminelle tun. Außerdem erfahren Sie, wie Sie sich mit Phishing-Branchen-Benchmarks im Vergleich zu Ihren Mitbewerbern behaupten. Der Phish-Prone Prozentsatz ist in der Regel höher als erwartet und ist eine großartige Möglichkeit, um ein Budget für Sicherheitsbewusstseinstrainings zu erhalten.
Und so funktioniert’s:
- Starten Sie sofort Ihren Test für bis zu 100 Benutzer
- Passen Sie die Phishing-Testvorlage auf Ihre Umgebung an
- Wählen Sie die Zielseite aus, die Ihre Benutzer sehen, nachdem sie geklickt haben
- Zeigen Sie den Benutzern, welche roten Flags sie verpasst haben
- Erhalten Sie innerhalb von 24 Stunden eine PDF-Datei per E-Mail mit Ihrem Phish-Prone Prozentsatz und Diagrammen, die Sie mit dem Management teilen können
- Sehen Sie, wie Ihre Organisation im Vergleich zu anderen in Ihrer Branche abschneidet.