De forma geral, os sistemas Linux são muito seguros, mas não significa que são imunes a ataques. Agentes maliciosos desconhecidos subiram 144.294 pacotes com alguma forma de phishing em repositórios open source.
Este ataque comprometeu principalmente o repositório NuGet, que ficou inundado com 136.258 pacotes maliciosos.
Repositórios atacados
Os pacotes infectados redirecionavam o usuário para cerca de 90 domínios que hospedam em torno de 65.000 páginas falsas, como aquelas que contém aplicativos que supostamente geram seguidores no Instagram, inscritos no Youtube e promovem perfis em outras redes sociais. O usuário insere seus dados no site, passa por algumas etapas e em uma delas ocorre algum erro dizendo que não foi possível continuar o procedimento. Dessa forma, o usuário compromete sua conta sem receber nada em troca.
Os métodos de estelionato foram bastante variados, em alguns casos, o usuário era redirecionado a algum link afiliado no Aliexpress e caso fizesse alguma compra, o criminoso obtinha uma porcentagem do lucro, semelhante a quando um Youtuber promove algum produto ou site, mas em vez de ajudar algum produtor de conteúdo que você gosta, vai financiar um cibercriminoso que te enganou.
Além disso, também implantaram o URL de sites maliciosos na descrição dos pacotes com a intenção de melhorar o posicionamento deles em mecanismos de busca, como o Google e o DuckDuckGo.
Dentre as páginas danosas que o usuário poderia ser direcionado também haviam jogos, páginas do Discord, cartões de presentes e lojas, todos falsos com a intenção de obter dados sensíveis, como senhas e informações de cartões de crédito.
Algumas das páginas maliciosas. Fonte: Checkmark
O problema foi detectado por pesquisadores do Checkmark e Illustria. Todos os pacotes foram removidos dos repositórios, mas como são adicionados por um processo automatizado, ainda não há garantia de que a situação está resolvida definitivamente.