Кіберзлочинці у межах кампанії Beamglea використовують легітимні сервіси екосистеми JavaScript — репозиторій npm та CDN unpkg — щоб доставляти фішингові сторінки під виглядом безпечного трафіку. Замість класичного шкідливого коду пакети містять логіку переадресації, що ускладнює виявлення на рівні сигнатур і репутаційних фільтрів.
Як працює фішинг через npm та CDN unpkg
Дослідники Socket відзначають, що щойно пакет публікується в npm, його вміст миттєво доступний по HTTPS через unpkg[.]com. Зловмисники випускають серії пакетів із шаблоном назв redirect-[a-z0-9]{6} і розсилають жертвам HTML-файли, замасковані під закупівельні замовлення, технічні специфікації чи проєктну документацію.
Під час відкриття такого HTML-документа браузер підтягує JavaScript з CDN unpkg і виконує перенаправлення на фішинговий домен. Додатковий прийом — автозаповнення логіна: адреса електронної пошти передається у фрагменті URL, після чого поле на підробленій сторінці заповнюється автоматично. Зафіксовано понад 630 унікальних HTML-приманок із метатегом кампанії nb830r6x.
Масштаб кампанії та коло жертв
Виявлені компанією Safety наприкінці вересня 120 шкідливо орієнтованих пакетів еволюціонували до понад 175, повідомляє Socket. Сукупні завантаження перевищили 26 000 (частина трафіку припадає на дослідників і сканери).
Атаки таргетують більш ніж 135 організацій у сферах енергетики, промисловості та технологій. Серед згаданих брендів — Algodue, ArcelorMittal, Demag Cranes, D-Link, H2 Systems, Moxa, Piusi, Renishaw, Sasol, Stratasys і ThyssenKrupp Nucera. Географія — переважно Західна Європа, із випадками в Північній Європі та АТР.
Автоматизація: конвеєр публікації пакетів і HTML-приманок
Кампанія використовує Python-скрипти, що перевіряють авторизацію користувача, підставляють email і фішингове посилання в шаблон JavaScript (beamglea_template.js), формують package.json, публікують пакет у npm і генерують HTML-файл із посиланням на CDN. Такий конвеєр дозволяє швидко випускати десятки одноразових артефактів і зменшує ефективність блокування за поодинокими індикаторами.
Суміжні артефакти та зловживання довіреною інфраструктурою
Фахівці Snyk також виявили низку npm-пакетів із префіксом mad-*, що демонструють схожий патерн: зокрема, підроблена сторінка «Cloudflare Security Check» непомітно перенаправляє на адресу, отриману з віддаленого файлу на GitHub. Пряма пов’язаність із Beamglea не підтверджена, однак тактики, техніки та процедури (TTPs) співпадають — зловживання надійними платформами для хостингу й доставки контенту.
Чому цю техніку складно виявити
Ключова перевага зловмисників — маскування за легітимними сервісами. Доступ до unpkg і npm часто дозволено за замовчуванням у корпоративних мережах, а пакети містять лише редирект, без явних сигнатур «шкідливості». У результаті спрацьовують не всі механізми, що покладаються на репутацію доменів або статичний аналіз коду.
Ключові Indicators of Compromise (IoC)
– Патерн назв пакетів redirect-[a-z0-9]{6} і звернення до unpkg[.]com з відповідними шляхами.
– HTML-приманки з ідентифікатором кампанії nb830r6x і фрагментами URL, що містять email-адресу жертви.
Практичні заходи захисту для організацій
– Обмежте виконання HTML-вкладень із пошти в ізольованому середовищі (sandbox/VDI) та впровадьте політику блокування або переписування вкладень .html.
– Введіть жорстку Content Security Policy на корпоративних порталах: дозволяйте завантаження скриптів лише з перевіреного переліку, по можливості забороніть сторонні CDN поза allowlist.
– Налаштуйте моніторинг звернень до unpkg[.]com і виявлення шаблонів redirect-*; оновіть сигнатури та правила для IoC nb830r6x.
– Посильте поштовий захист: DMARC, SPF, DKIM, фільтрацію посилань і вкладень, перевірки контентних невідповідностей (PO, інвойси, RFP).
– Застосовуйте контроль ланцюга постачання ПЗ: приватні дзеркала npm, аудит залежностей, заборона встановлення пакетів з неперевірених просторів імен.
Організаціям варто провести експрес-аудит журналів на звернення до unpkg із згадками пакетів redirect-*, переглянути політики обробки HTML-вкладень і навчити співробітників розпізнавати приманки під виглядом закупівельних документів і техдокументації. Регулярний моніторинг доступу до npm/unpkg, посилення CSP і дисципліна постачання ПЗ істотно знижують ризики зловживань довіреною інфраструктурою.
