Cette semaine, les référentiels open source PyPI et NuGet ont été inondés de plus d’une centaine de paquets de spam « Roblox » pointant vers de faux liens. De plus, npm, le plus grand registre de packages NodeJS, a également été vu en train de lutter contre des packages de spam.
Dans chaque cas, les emballages sont pratiquement vides ; sans code fonctionnel. Mais, leurs pages README renvoient à des domaines de spam proposant des « générateurs Robux gratuits » et des outils pour créer des éléments de jeu comme personnalisés peaux.
Les spammeurs polluent les registres open source avec des liens vers films piratés et sites warez n’est pas nouveau – de telles manigances peuvent aider à stimuler le référencement pour les domaines de spam. Cette campagne de spam particulière suivie par Sonatype, ainsi que notre découverte la plus récente de programmes malveillants Voleurs de cookies Roblox et de jetons Discord peint un motif intéressant.
PyPI, npm, NuGet pollués par les spams « Robux » et Fortnite
Hier, mon collègue et data scientist Cody Nash nous a alertés sur des paquets PyPI au son bizarre signalés par nos systèmes de détection de logiciels malveillants automatisés. Sauf que ces packages n’étaient ni des PoC malveillants ni des confusions de dépendances, et contenaient pas de code fonctionnel.
Tous ces packages et leurs fichiers README pointaient vers un domaine spam : freerobux[.]meilleur.
Après notre rapport à PyPI, ces quatre douzaines de paquets ont été retirés. Mais, au cours des dernières 24 heures, les acteurs de la menace semblent également avoir ciblé NuGet, le registre open source des packages .NET avec du spam Robux [1, 2]:
En plus du même freerobux[.]meilleur domaine vu sur NuGetles autres domaines utilisés pour la campagne de spam incluent :
- coup de jeu[.]xyz
- maîtres de jeu[.]xyz
Tous ces liens mènent à de fausses pages « Générateur Robux », comme indiqué ci-dessous :
Domaine coup de jeu[.]xyz avec les spams Roblox et Fortnite :
