Фишинговая кампания Beamglea использует инфраструктуру npm для атак на компании

Инфраструктуру npm используют фишеры нацеленные на промышленные и технологические компании Злоумышленники злоупотребляют легитимной инфраструктурой npm в новой фишинговой кампании Beamglea На этот раз вредоносные пакеты не выполняют вредоносный код а злоупотребляют легитимным CDN сервисом unpkg com для показа фишинговых страниц пользователям xakep ru 2025 10 14 beamglea

Исследователи обнаружили 175 вредоносных пакетов npm использованных для размещения фишинговых страниц 15 октября CYBER MEDIA Компания Socket сообщила о масштабной кампании в рамках которой злоумышленники загрузили в npm 175 вредоносных пакетов использовав их не для заражения проектов а как инфраструктуру для размещения фишинговых сайтов По данным исследователей опубликованные пакеты не содержали активного вредоносного кода Вместо этого они использовались как обёртка для хостинга JavaScript скриптов загружаемых через CDN сервис unpkg com Эти скрипты перенаправляли пользователей на поддельные страницы входа созданные для кражи учетных данных Кампанию получившую условное имя Beamglea связывают с атаками на более чем 130 организаций в промышленном энергетическом и технологическом секторах Фишинг распространялся через HTML вложения в письмах после открытия файл загружал скрипт с npm и автоматически перенаправлял жертву на поддельную форму входа где уже был подставлен её e mail адрес Socket отмечает что злоумышленники не стремились к случайной установке этих пакетов разработчиками их имена были сгенерированы автоматически а реальная цель заключалась в маскировке под доверенную экосистему npm После публикации отчёта все пакеты были удалены а связанные домены заблокированы Эксперты предупреждают инцидент демонстрирует что даже надёжные экосистемы могут использоваться в качестве временного хостинга для фишинговых атак Разработчикам и компаниям рекомендуют внимательнее проверять зависимости и избегать загрузки внешних ресурсов из непроверенных источников