最近針對 NPM（Node Package Manager）生態系統的攻擊，已從過去依賴在套件中注入惡意程式碼以感染開發人員或增加類似蠕蟲的行為，轉變為一種更為隱蔽的濫用方式。作為新發現的Beamglea活動的一部分，惡意軟體包不會執行程式碼，而是濫用合法的 CDN 服務(註) unpkg[.]com 向毫無戒心的用戶提供釣魚頁面。網路安全公司Socket表示，目前此類軟體包的數量已超過175個，且仍在持續增加，其累計下載量已超過26,000次，儘管其中許多下載量來自於安全研究人員和自動掃描工具。

註：
CDN（內容傳遞網路，Content Delivery Network）是一種透過分散式伺服器系統來加速網路內容傳輸的技術，它的目的是讓網站內容更快、更穩定地送達使用者手中，尤其是當使用者距離網站主機很遠時。CDN 服務常見的資訊安全威脅：

• DDoS 攻擊（Distributed Denial of Service）：CDN 雖能緩解部分 DDoS 攻擊，但若攻擊規模過大或針對 CDN 節點本身，仍可能造成服務中斷。
• 惡意 Bot 與爬蟲：CDN 節點可能遭受模擬人類行為的惡意 Bot 攻擊，例如暴力破解登入、API 濫用、資料爬取等。
• 快取投毒（Cache Poisoning）：攻擊者可能透過操控請求，使 CDN 快取錯誤或惡意內容，導致使用者取得偽造資料。
• HTTPS 中間人攻擊（Man-in-the-Middle）：若 CDN 未妥善處理 HTTPS 憑證或反向代理設定，可能成為中間人攻擊的管道。
• 資料外洩風險：CDN 節點分散於全球，若某節點遭入侵，可能導致使用者資料或網站內容外洩。
• CDN 配置錯誤：錯誤的安全設定（如未啟用 WAF、防火牆、憑證驗證）可能讓攻擊者輕易滲透系統。
• 依賴性風險：過度依賴單一 CDN 供應商，若其系統故障或遭攻擊，可能導致整個網站無法運作。

這場由威脅行為者發起的Beamglea活動，目標鎖定在能源、工業設備和電子技術等領域的135家以上企業。這些惡意套件的命名通常包含隨機的六個字元字串，並遵循redirect-[a-z0-9]{6}的命名模式。一旦這些惡意套件被發布到NPM上，unpkg.com便會立即透過HTTPS CDN URL使其公開可用。

威脅行為者可能會向目標受害者分發以採購訂單和專案文件為主題的HTML檔案。Socket指出，雖然確切的發送方式尚不清楚，但文件的主題和針對受害者的客製化程度，暗示了攻擊可能是透過電子郵件附件或釣魚連結進行傳遞。

一旦受害者打開 HTML 文件，惡意的 JavaScript 程式碼會立即在瀏覽器中載入——這段程式碼正是從unpkg.com CDN服務中獲取的。隨後，受害者會被重定向到一個釣魚域名，並且透過URL片段（URL fragment）傳遞受害者的電子郵件地址。釣魚頁面會預先填寫電子郵件字段，營造出一種令人信服的假象，使受害者誤以為正在存取一個已經識別他們的合法登錄門戶。這種技術顯著提高了攻擊的成功率，因為它看起來比傳統的通用釣魚郵件更具說服力。

安全公司Socket還發現，威脅行為者使用了Python工具來自動化整個活動流程。這個自動化過程會檢查受害者是否已登錄，提示輸入憑證，將電子郵件和釣魚URL注入一個JavaScript模板文件（beamglea_template.js）中，生成package.json文件，將其作為公共套件發布，並生成包含unpkg.com CDN引用該套件的HTML文件。Socket表示，這種自動化使得駭客無需手動介入，就能創建超過175個針對不同組織的獨特套件。此外，威脅行為者已生成了超過630個指向這些惡意套件的HTML文件，這些文件都帶有特定的活動識別符nb830r6x。

被鎖定的組織包括Algodue、ArcelorMittal、Demag Cranes、D-Link、Moxa、Piusi、Renishaw、Sasol、Stratasys和ThyssenKrupp Nucera等。攻擊主要集中在西歐國家，但在北歐和亞太地區也發現了額外的目標。

其他研究人員，如Snyk，也觀察到使用mad-*命名方案的額外套件似乎存在類似的行為。雖然尚未正式與Beamglea活動相關聯，但這些套件包含一個偽造的「Cloudflare安全檢查」頁面，它會秘密地將用戶重定向到從遠程GitHub託管文件中獲取的攻擊者控制的URL。這些套件還包含了常見的抗分析邏輯，例如阻止檢查快捷鍵和試圖在用戶點擊虛假驗證複選框後進行跳轉（frame-busting），以規避安全研究人員的偵測。

這場活動突顯了攻擊者如何將目標從伺服器端供應鏈攻擊轉向濫用合法且受信任的基礎設施，如NPM和公共CDN，來進行大規模、客製化的釣魚攻擊，對全球工業和電子技術部門構成實質威脅。

資料來源：https://www.securityweek.com/npm-infrastructure-abused-in-phishing-campaign-aimed-at-industrial-and-electronics-firms/