ProHoster > بلوق > أخبار الإنترنت > يعثر NPM على 15 حزمة من حزم التصيد الاحتيالي والبريد العشوائي

يعثر NPM على 15 حزمة من حزم التصيد الاحتيالي والبريد العشوائي

تم تسجيل هجوم على مستخدمي دليل NPM ، ونتيجة لذلك ، في 20 فبراير ، تم وضع أكثر من 15 ألف حزمة في مستودع NPM ، في ملفات README التي توجد بها روابط لمواقع التصيد أو روابط الإحالة التي تم دفع الإتاوات. كشف تحليل الحزم عن 190 رابطًا فريدًا للتصيد أو الروابط الترويجية تغطي 31 نطاقًا.

تم اختيار أسماء الحزم لجذب اهتمام الشخص العادي ، على سبيل المثال ، "free-tiktok-Followers" "free-xbox-code" ، "instagram-Follow-free-free" ، إلخ. تم إجراء الحساب لملء قائمة التحديثات الأخيرة على صفحة NPM الرئيسية بحزم البريد العشوائي. تضمنت أوصاف الحزم روابط تعد بهبات مجانية وهدايا وغش في الألعاب وخدمات مجانية للحصول على متابعين وإعجابات على الشبكات الاجتماعية مثل TikTok و Instagram. ليس هذا هو الهجوم الأول من نوعه ؛ ففي ديسمبر ، تم نشر 144 ألف حزمة بريد عشوائي في دلائل NuGet و NPM و PyPi.

يعثر NPM على 15 حزمة من حزم التصيد الاحتيالي والبريد العشوائي

تم إنشاء محتويات الحزم تلقائيًا باستخدام برنامج نصي بلغة Python ، والذي يبدو أنه ترك في الحزم من خلال الإشراف ويتضمن بيانات اعتماد العمل المستخدمة أثناء الهجوم. تم نشر الحزم تحت العديد من الحسابات المختلفة باستخدام طرق تجعل من الصعب كشف المسار والتعرف بسرعة على الحزم التي بها مشاكل.

بالإضافة إلى الأنشطة الاحتيالية ، تم تحديد عدة محاولات لنشر حزم ضارة في مستودعات NPM و PyPi:

  • تم العثور على 451 حزمة ضارة في مستودع PyPI ، والتي كانت متخفية في شكل بعض المكتبات الشائعة باستخدام الكتابة السكتية (تعيين أسماء متشابهة تختلف في الأحرف الفردية ، على سبيل المثال ، vper بدلاً من vyper ، bitcoinnlib بدلاً من bitcoinlib ، ccryptofeed بدلاً من cryptofeed ، ccxtt بدلاً من ccxt ، cryptocommpare بدلاً من cryptocompare ، seleium بدلاً من السيلينيوم ، pinstaller بدلاً من pyinstaller ، إلخ). تضمنت الحزم رمزًا غامضًا لسرقة العملات المشفرة ، والتي تحدد وجود معرفات محفظة التشفير في الحافظة وتغييرها إلى محفظة المهاجم (من المفترض أنه عند إجراء الدفع ، لن يلاحظ الضحية أن رقم المحفظة تم نقله عبر الحافظة مختلف). تم إجراء الاستبدال بواسطة وظيفة إضافية للمستعرض تم إجراؤها في سياق كل صفحة ويب تم عرضها.
  • تم تحديد سلسلة من مكتبات HTTP الضارة في مستودع PyPI. تم العثور على نشاط ضار في 41 حزمة تم اختيار أسمائها باستخدام أساليب السطو على الكتابة وتشبه المكتبات الشعبية (aio5 ، و requestst ، و ulrlib ، و urllb ، و libhttps ، و piphttps ، و httpxv2 ، وما إلى ذلك). تم تصميم الحشو ليبدو مثل مكتبات HTTP عاملة أو كود منسوخ من مكتبات موجودة ، وقدم الوصف مطالبات حول الفوائد والمقارنات مع مكتبات HTTP الشرعية. اقتصر النشاط الضار على تنزيل البرامج الضارة على النظام أو جمع البيانات الحساسة وإرسالها.
  • حددت NPM 16 حزمة JavaScript (speedte * ، trova * ، lagra) ، والتي ، بالإضافة إلى الوظيفة المعلنة (اختبار الإنتاجية) ، تحتوي أيضًا على رمز لتعدين العملات الرقمية دون علم المستخدم.
  • حددت NPM 691 حزمة ضارة. تظاهرت معظم الحزم الإشكالية بأنها مشاريع Yandex (yandex-logger-sentry ، yandex-logger-qloud ، yandex-sendsms ، إلخ) وتضمنت رمزًا لإرسال معلومات سرية إلى خوادم خارجية. من المفترض أن أولئك الذين وضعوا الحزم حاولوا تحقيق استبدال التبعية الخاصة بهم عند بناء المشاريع في Yandex (طريقة استبدال التبعيات الداخلية). في مستودع PyPI ، وجد نفس الباحثين 49 حزمة (reqsystem و httpxfaster و aio6 و gorilla2 و httpsos و pohttp وما إلى ذلك) تحتوي على شفرة ضارة مبهمة تقوم بتنزيل ملف قابل للتنفيذ وتشغيله من خادم خارجي.

المصدر: opennet.ru

إضافة تعليق