تم تسجيل هجوم على مستخدمي دليل NPM ، ونتيجة لذلك ، في 20 فبراير ، تم وضع أكثر من 15 ألف حزمة في مستودع NPM ، في ملفات README التي توجد بها روابط لمواقع التصيد أو روابط الإحالة التي تم دفع الإتاوات. كشف تحليل الحزم عن 190 رابطًا فريدًا للتصيد أو الروابط الترويجية تغطي 31 نطاقًا.
اختيرت أسماء الحزم لجذب اهتمام عامة الناس، مثل "متابعو تيك توك مجانيون"، و"أكواد إكس بوكس مجانية"، و"متابعو إنستغرام مجانيون"، إلخ. أُجريت الحسابات لملء قائمة التحديثات الأخيرة على الصفحة الرئيسية لـ NPM بحزم بريد مزعج. تضمنت أوصاف الحزم روابط توعد بهدايا مجانية، وعروضًا، وغشًا للألعاب، بالإضافة إلى خدمات مجانية لزيادة المشتركين والإعجابات على منصات التواصل الاجتماعي مثل تيك توك وإنستغرام. هذا ليس الهجوم الأول من نوعه؛ ففي ديسمبر، نُشرت 144 ألف حزمة بريد مزعج في أدلة NuGet وNPM وPyPi.
تم إنشاء محتويات الحزم تلقائيًا باستخدام نص برمجي بلغة بايثون، والذي يبدو أنه قد تم تركه سهوًا في الحزم، وكان يتضمن بيانات الاعتماد المستخدمة في الهجوم. نُشرت الحزم تحت حسابات مختلفة باستخدام تقنيات تُصعّب فك تشابك المسارات وتحديد الحزم المُسببة للمشاكل بسرعة.
بالإضافة إلى الأنشطة الاحتيالية ، تم تحديد عدة محاولات لنشر حزم ضارة في مستودعات NPM و PyPi:
- عُثر على 451 حزمة خبيثة في مستودع PyPI، مُتنكرة على هيئة مكتبات شائعة باستخدام التلاعب بالأحرف (بإعطاء أسماء متشابهة تختلف في الأحرف، على سبيل المثال: vper بدلاً من vyper، وbitcoinnlib بدلاً من bitcoinlib، وccryptofeed بدلاً من cryptofeed، وccxtt بدلاً من ccxt، وcryptocommpare بدلاً من cryptocompare، وseleium بدلاً من selenium، وpinstaller بدلاً من pyinstaller، إلخ). تضمنت هذه الحزم شيفرة مشوشة لسرقة العملات المشفرة، والتي تكتشف وجود معرفات محفظة العملات المشفرة في الحافظة وتستبدلها بمحفظة المهاجم (يُفترض أنه عند إجراء عملية دفع، لن يلاحظ الضحية اختلاف رقم المحفظة المُرسل عبر الحافظة). تم تنفيذ عملية الاستبدال بواسطة إضافة مُدمجة للمتصفح، تم تنفيذها في سياق كل صفحة ويب مُشاهدة.
- تم تحديد سلسلة من مكتبات HTTP الضارة في مستودع PyPI. تم العثور على نشاط ضار في 41 حزمة تم اختيار أسمائها باستخدام أساليب السطو على الكتابة وتشبه المكتبات الشعبية (aio5 ، و requestst ، و ulrlib ، و urllb ، و libhttps ، و piphttps ، و httpxv2 ، وما إلى ذلك). تم تصميم الحشو ليبدو مثل مكتبات HTTP عاملة أو كود منسوخ من مكتبات موجودة ، وقدم الوصف مطالبات حول الفوائد والمقارنات مع مكتبات HTTP الشرعية. اقتصر النشاط الضار على تنزيل البرامج الضارة على النظام أو جمع البيانات الحساسة وإرسالها.
- حددت NPM 16 حزمة JavaScript (speedte * ، trova * ، lagra) ، والتي ، بالإضافة إلى الوظيفة المعلنة (اختبار الإنتاجية) ، تحتوي أيضًا على رمز لتعدين العملات الرقمية دون علم المستخدم.
- تم اكتشاف 691 حزمة ضارة في NPM. انتحلت معظم الحزم الإشكالية صفة مشاريع Yandex (yandex-logger-sentry، yandex-logger-qloud، yandex-sendsms، إلخ) وتضمنت تعليمات برمجية لإرسال معلومات سرية إلى خوادم خارجية. الخوادميُعتقد أن من قاموا بنشر هذه الحزم كانوا يحاولون استبدال تبعياتهم الخاصة عند بناء مشاريعهم على منصة ياندكس (وهي طريقة لاستبدال التبعيات الداخلية). وفي مستودع PyPI، عثر الباحثون أنفسهم على 49 حزمة (مثل reqsystem وhttpxfaster وaio6 وgorilla2 وhttpsos وpohttp وغيرها) تحتوي على شيفرة خبيثة مُشفرة تقوم بتنزيل وتشغيل ملف تنفيذي من خادم خارجي. الخادم.
المصدر: opennet.ru
