NPM kataloqunun istifadəçilərinə hücum qeydə alınıb, bunun nəticəsində fevralın 20-də NPM repozitoriyasına 15 mindən çox paket yerləşdirilib, onların README fayllarında fişinq saytlarına keçidlər və ya istinad keçidləri var. qonorar ödənilirdi. Paketlərin təhlili zamanı 190 domeni əhatə edən 31 unikal fişinq və ya tanıtım linki aşkar edilib.
Paket adları laymanın marağını cəlb etmək üçün seçilib, məsələn, "free-tiktok-followers" "free-xbox-codes", "instagram-followers-free" və s. Hesablama əsas NPM səhifəsində son yeniləmələrin siyahısını spam paketləri ilə doldurmaq üçün aparılmışdır. Paketlərin təsvirinə pulsuz hədiyyələr, hədiyyələr, oyun fırıldaqları və TikTok və Instagram kimi sosial şəbəkələrdə izləyicilər və bəyənmələr əldə etmək üçün pulsuz xidmətlər vəd edən bağlantılar daxildir. Bu, ilk belə hücum deyil, dekabrda NuGet, NPM və PyPi kataloqlarında 144 min spam paketi dərc edilib.
Paketlərin məzmunu python skriptindən istifadə etməklə avtomatik olaraq yaradılıb, görünür ki, nəzarət nəticəsində paketlərdə qalıb və hücum zamanı istifadə olunan işçi etimadnaməsini ehtiva edir. Paketlər cığırın açılmasını çətinləşdirən və problemli paketləri tez müəyyən edən üsullardan istifadə etməklə bir çox fərqli hesablar altında dərc edilmişdir.
Fırıldaqçılıq fəaliyyətlərinə əlavə olaraq, NPM və PyPi depolarında zərərli paketləri dərc etmək üçün bir neçə cəhd də müəyyən edilmişdir:
- PyPI repozitoriyasında 451 zərərli paket aşkar edilib ki, bunlar tipkvadratlaşdırmadan istifadə etməklə bəzi məşhur kitabxanalar kimi maskalanıb (fərdi simvollarla fərqlənən oxşar adların təyin edilməsi, məsələn, vyper əvəzinə vper, bitcoinlib əvəzinə bitcoinnlib, kriptofeed əvəzinə ccryptofeed, əvəzinə ccxtt). ccxt, cryptocommpare əvəzinə kriptokompare, selenium əvəzinə seleium, pyinstaller əvəzinə pinstaller və s.). Paketlərə kriptovalyutaların oğurlanması üçün çaşqın kod daxil edilib ki, bu da mübadilə buferində kripto pul kisəsi identifikatorlarının mövcudluğunu müəyyən edib onları təcavüzkarın pul kisəsinə dəyişdirib (ehtimal edilir ki, ödəniş edərkən qurban pul kisəsi nömrəsinin pul kisəsi vasitəsilə ötürüldüyünü hiss etməyəcək). mübadilə buferi fərqlidir). Əvəzetmə, baxılan hər bir veb səhifənin kontekstində yerinə yetirilən brauzer əlavəsi tərəfindən həyata keçirilmişdir.
- PyPI repozitoriyasında bir sıra zərərli HTTP kitabxanaları müəyyən edilib. Adları typequatting metodları ilə seçilən və məşhur kitabxanalara (aio41, requestst, ulrlib, urllb, libhttps, piphttps, httpxv5 və s.) bənzəyən 2 paketdə zərərli fəaliyyət aşkar edilib. Doldurma işləyən HTTP kitabxanalarına və ya mövcud kitabxanalardan kopyalanmış kodlara bənzəyəcək şəkildə tərtib edilib və təsvirdə qanuni HTTP kitabxanaları ilə üstünlüklər və müqayisələr haqqında iddialar var. Zərərli fəaliyyət sistemə zərərli proqram yükləmək və ya həssas məlumatların toplanması və göndərilməsi ilə məhdudlaşır.
- NPM 16 JavaScript paketini (speedte*, trova*, lagra) müəyyən etdi, bu paketlərdə elan edilmiş funksionallıqdan əlavə (keçirmə qabiliyyətinin yoxlanılması) istifadəçinin xəbəri olmadan kriptovalyuta mədənçiliyi üçün kod da var idi.
- NPM 691 zərərli paketi müəyyən edib. Problemli paketlərin əksəriyyəti özlərini Yandex layihələri kimi göstərdilər (yandex-logger-senry, yandex-logger-qloud, yandex-sendsms və s.) və xarici serverlərə məxfi məlumatların göndərilməsi üçün kod daxil edildi. Güman edilir ki, paketləri yerləşdirənlər Yandex-də layihələr qurarkən öz asılılıqlarını əvəz etməyə çalışıblar (daxili asılılıqları əvəz etmək üsulu). PyPI anbarında eyni tədqiqatçılar xarici serverdən icra edilə bilən faylı endirən və işə salan çaşqınlaşdırılmış zərərli kodlu 49 paket (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp və s.) aşkar ediblər.
Mənbə: opennet.ru