'n Aanval op gebruikers van die NPM-gids is aangeteken, as gevolg waarvan op 20 Februarie meer as 15 duisend pakkette in die NPM-bewaarplek geplaas is, in die README-lêers waarvan daar skakels na uitvissingwebwerwe of verwysingsskakels was waarvoor tantieme betaal is. Die ontleding van die pakkette het 190 unieke uitvissing- of promosieskakels aan die lig gebring wat 31 domeine dek.
Pakketname is gekies om die belangstelling van die leek te lok, byvoorbeeld "gratis-tiktok-volgers", "gratis-xbox-kodes", "instagram-volgers-vry", ens. Die berekening is gemaak om die lys van onlangse opdaterings op die hoof NPM-bladsy met strooipospakkette te vul. Die beskrywings van die pakkette het skakels ingesluit wat gratis geskenke, geskenke, speletjiebedrog en gratis dienste belowe om volgelinge en laaiks op sosiale netwerke soos TikTok en Instagram te kry. Dit is nie die eerste sulke aanval nie; in Desember is 144 duisend strooipospakkette in die NuGet-, NPM- en PyPi-gidse gepubliseer.
Die inhoud van die pakkette is outomaties gegenereer deur gebruik te maak van 'n luislangskrif, wat blykbaar in die pakkette gelaat is deur 'n toesig en die werksbewyse ingesluit het wat tydens die aanval gebruik is. Pakkette is onder baie verskillende rekeninge gepubliseer deur metodes te gebruik wat dit moeilik maak om die roete te ontrafel en vinnig problematiese pakkette te identifiseer.
Benewens bedrieglike aktiwiteite, is verskeie pogings om kwaadwillige pakkette te publiseer ook in die NPM- en PyPi-bewaarplekke geïdentifiseer:
- 451 kwaadwillige pakkette is in die PyPI-bewaarplek gevind, wat vermom was as 'n paar gewilde biblioteke wat tipesquatting gebruik (wat soortgelyke name toeken wat in individuele karakters verskil, byvoorbeeld vper in plaas van vyper, bitcoinnlib in plaas van bitcoinlib, ccryptofeed in plaas van cryptofeed, ccxtt in plaas van ccxt, cryptocommpare in plaas van cryptocompare, seleium in plaas van selenium, pinstaller in plaas van pyinstaller, ens.). Die pakkette het verduisterde kode vir die steel van kripto-geldeenhede ingesluit, wat die teenwoordigheid van kripto-beursie-ID's in die knipbord bepaal het en dit na die aanvaller se beursie verander het (daar word aanvaar dat wanneer 'n betaling gemaak word, die slagoffer nie sal agterkom dat die beursienommer via die knipbord oorgedra is nie is verskillend). Die vervanging is uitgevoer deur 'n blaaierbyvoeging wat uitgevoer is in die konteks van elke webbladsy wat bekyk is.
- 'n Reeks kwaadwillige HTTP-biblioteke is in die PyPI-bewaarplek geïdentifiseer. Kwaadwillige aktiwiteit is gevind in 41 pakkette waarvan die name gekies is deur gebruik te maak van tipekwattingmetodes en soos gewilde biblioteke gelyk het (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2, ens.). Die vulsel is gestileer om te lyk soos werkende HTTP-biblioteke of gekopieerde kode van bestaande biblioteke, en die beskrywing het aansprake gemaak oor voordele en vergelykings met wettige HTTP-biblioteke. Kwaadwillige aktiwiteit was beperk tot óf die aflaai van wanware op die stelsel óf om sensitiewe data te versamel en te stuur.
- NPM het 16 JavaScript-pakkette (speedte*, trova*, lagra) geïdentifiseer wat, benewens die verklaarde funksionaliteit (deurvloeitoetsing), ook kode vir kripto-geldeenheid-ontginning bevat het sonder die gebruiker se medewete.
- NPM het 691 kwaadwillige pakkette geïdentifiseer. Die meeste van die problematiese pakkette het voorgegee om Yandex-projekte te wees (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, ens.) en het kode ingesluit vir die stuur van vertroulike inligting na eksterne bedieners. Daar word aanvaar dat diegene wat die pakkette geplaas het, probeer het om hul eie afhanklikheid te vervang wanneer hulle projekte in Yandex bou (die metode om interne afhanklikhede te vervang). In die PyPI-bewaarplek het dieselfde navorsers 49 pakkette (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, ens.) gevind met verduisterde kwaadwillige kode wat 'n uitvoerbare lêer vanaf 'n eksterne bediener aflaai en begin.
Bron: opennet.ru