Злоумышленники в рамках кампании Beamglea задействуют легитимную инфраструктуру экосистемы JavaScript — репозиторий npm и CDN-сервис unpkg — для доставки фишинговых страниц конечным пользователям. Вместо привычного вредоносного кода внутри пакетов используется переадресация на поддельные порталы, что усложняет детектирование и блокировку на уровне традиционных средств защиты.
Как работает атака через npm и CDN unpkg
По данным исследователей Socket, при публикации пакетов в npm они мгновенно становятся доступными по HTTPS через unpkg[.]com. Злоумышленники выпускают серии пакетов с шаблоном именования redirect-[a-z0-9]{6}, а затем распространяют среди жертв HTML-файлы, замаскированные под закупочные заказы, технические спецификации или проектную документацию. При открытии такого HTML-документа браузер подтягивает JavaScript из пакета по ссылке CDN и выполняет перенаправление на фишинговый домен.
Отдельная особенность — подстановка адреса электронной почты. Email жертвы передается во фрагменте URL, после чего поле логина на поддельной странице автозаполняется, повышая правдоподобие сценария. Исследователи сообщают более чем о 630 уникальных HTML-файлах с метатегом кампании nb830r6x.
Масштаб и цели кампании Beamglea
Инициативно выявленные компанией Safety в конце сентября 120 вредоориентированных пакетов к настоящему моменту эволюционировали в более чем 175, отмечает Socket. Совокупное число загрузок превысило 26 000, хотя часть трафика, вероятно, приходится на исследователей и автоматические сканеры.
Атаки таргетируют свыше 135 организаций в энергетике, промышленности и технологическом секторе. В числе упомянутых брендов — Algodue, ArcelorMittal, Demag Cranes, D-Link, H2 Systems, Moxa, Piusi, Renishaw, Sasol, Stratasys и ThyssenKrupp Nucera. География — преимущественно Западная Европа, при этом зафиксированы цели в Северной Европе и АТР.
Автоматизация: генерация пакетов и HTML-приманок
Кампания опирается на Python-скрипты, которые проверяют, авторизован ли пользователь, подставляют email и фишинговую ссылку в шаблон JavaScript (beamglea_template.js), формируют package.json, публикуют пакет в npm и создают HTML-файл с CDN-ссылкой на него. Такая конвейерная схема позволила быстро выпустить десятки одноразовых артефактов, минимизируя ручные операции и затрудняя блокировку по единичным индикаторам.
Родственные артефакты и наблюдения исследователей
Специалисты Snyk дополнительно обнаружили набор npm-пакетов с префиксом mad-*, демонстрирующих сходный паттерн злоупотребления инфраструктурой: в одном из случаев фальшивая страница «Проверка безопасности Cloudflare» незаметно перенаправляет на адрес, полученный из удаленного файла на GitHub. Прямая связь с Beamglea пока не установлена, но тактика и техники совпадают в части использования доверенных платформ для хостинга и доставки контента.
Что делает методику опасной и как защититься
Главное преимущество для злоумышленников — маскировка за легитимными сервисами. Трафик к unpkg и npm часто разрешен по умолчанию в корпоративных сетях, а сами пакеты формально не содержат вредоносной нагрузки, выполняя лишь перенаправление. Это снижает эффективность детектов, основанных на сигнатурах и репутации доменов.
Практические меры
— Ограничьте выполнение HTML-вложений из почты в изолированной среде (sandbox/VDI) и внедрите правило блокировки/переписывания .html во вложениях.
— Введите строгую Content Security Policy на корпоративных порталах и внутренних приложениях, ограничив источники скриптов доверенным перечнем; при возможности запретите загрузку кода с CDN вне allowlist.
— Настройте мониторинг сетевых обращений к unpkg[.]com и выявляйте шаблоны redirect-*; используйте Indicators of Compromise, включая идентификатор nb830r6x.
— Усильте почтовую защиту: DMARC, SPF, DKIM, фильтрация ссылок и вложений, детект контентных несоответствий (PO, инвойсы, RFP).
— Применяйте контроль цепочки поставок ПО: приватные зеркала npm, аудит зависимостей, запрет установки пакетов из непроверенных пространств имен.
Beamglea демонстрирует, насколько эффективно злоупотребление доверенной инфраструктурой может обходить классические барьеры. Организациям стоит пересмотреть политику доступа к публичным CDN, усилить контроль почтовых каналов и автоматизировать поиск аномалий в обращениях к npm/unpkg. Проведите экспресс-аудит: проверьте логи на доступы к unpkg с упоминанием пакетов redirect-*, обновите правила фильтрации вложений и обучите сотрудников распознавать HTML-приманки, маскирующиеся под документы закупок и техдокументацию.
