התגלה שחקן איום חדש, שתוקף בפישינג מפתחי קוד פתוח

חוקרים זיהו קבוצת איום חדשה, שלא הייתה ידועה בעבר, בשם JuiceLedger (פנקסי המיצים, או שם יותר קולע – פנקסי המידע העסיסי), כמי שעומדת מאחורי מסעות פישינג. אחד מאותם מסעות כוון במיוחד נגד משתמשים ב-PyPI (ר"ת Python Package Index).

הקבוצה, שגילו אותה במשותף חוקרים מסנטינל וואן ומצ'קמרקס, פעילה מאז תחילת השנה. היא החלה את דרכה בהפצת אפליקציות כריית קריפטו מזויפות, שהסתירו אפליקציית דוט.נט חבויה בשם JuiceStealer (גונבי מידע עסיסי), שנועדה לגנוב מידע רגיש מהדפדפנים של הקורבנות. הנוזקה JuiceStealer חיפשה וגנבה מידע שקשור לדפדפן ולמטבעות קריפטוגרפיים ממערכות שהותקפו והודבקו בנוזקות. היא נקראה Tesla Trading Bot (בוט הסחר של טסלה). בזמן שלכאורה היא הייתה אמורה לכרות מטבעות קריפטו, במקום זאת שלחה האפליקציה פרטים רגישים שהזינו המשתמשים לדפדפן – לשרת השליטה של הכנופייה. פרטים אלה יכולים היו לשמש אותם לכניסה לחשבונות שונים באופן ישיר – או שהם נמכרו הלאה למרבה במחיר.

על פי הממצאים שהתגלו, בחלוף הזמן התפתחו הפעילות והיכולות של הקבוצה. כך, בחודש שעבר חבריה החלו להדביק חבילות קוד פתוח, על מנת "להפציץ" את הנוזקה שלהם לקהל משתמשים רחב יותר. הם ביצעו זאת על ידי קמפיין פישינג מתוחכם, שהתמקד ביוצרים של חבילות קוד פתוח, על גבי הפלטפורמה PyPi .

כחלק משיטת הפעולה החדשה שלהם, שחקני האיום החדשים שולחים לקורבן מייל פישינג, שמודיע לו שגוגל מיישמת תהליך אימות חדש עבור חבילות שפורסמו ב-PyPI. זאת, כתגובה לעלייה הגדולה בשימוש בחבילות PyPI זדוניות שהועלו לרישום. המייל "הזהיר" מפתחים לאמת במהירות את חבילות הקוד שלהם עם גוגל, כדי להימנע מהסרתם מהרישום. "חבילות שלא יאושרו לפני ספטמבר יוסרו באופן מיידי", צוין בדוא"ל הדיוג.

המשתמשים שלחצו על הקישור הופנו לדף אינטרנט, מזויף, כך שייראה בדיוק כמו דף הכניסה של PyPI. כאשר משתמשים הזינו את האישורים שלהם שם, הדף שלח את פרטי המידע לדומיין שמצוי בשליטת ההאקרים מפעילי הנוזקה. כך גנבו ההאקרים מהיוצרים שקיבלו את המייל ושהוביל אותם לעמוד המזויף את פרטי ההזדהות שאותם הם הזינו. בעזרת פרטי הזדהות אלה הצליחו חברי הקבוצה להעלות לפלטפורמה חבילות קוד נגועות. אלה הורדו, על פי החשד, על ידי כ-700 אלף משתמשים.