Зафіксаваная атака на карыстальнікаў каталога NPM, у выніку якой 20 лютага ў рэпазітары NPM было размешчана больш за 15 тысяч пакетаў, у README-файлах якіх прысутнічалі спасылкі на фішынгавыя сайты або реферальные спасылкі, за пераходы па якіх выплачваюцца адлічэнні. У ходзе аналізу ў пакетах было выяўлена 190 унікальных фішынгавых або рэкламных спасылак, якія ахопліваюць 31 дамен.
Імёны пакетаў выбіраліся для прыцягнення цікавасці абывацеляў, напірмер, "free-tiktok-followers", "free-xbox-codes", "instagram-followers-free" і да т.п. Разлік рабіўся на запаўненне спамерскімі пакетамі спісу нядаўніх абнаўленняў на галоўнай старонцы NPM. У апісанні да пакетаў прыводзіліся спасылкі, якія абяцалі бясплатныя раздачы, падарункі, гульнявыя Чыты, а таксама бясплатныя паслугі па накручванні падпісчыкаў і лайкаў у сацыяльных сетках, такіх як TikTok і Instagram. Гэта не першая падобная атака, у снежні ў каталогах NuGet, NPM і PyPi была зафіксаваная публікацыя 144 тысяч спамерскіх пакетаў.
Змесціва пакетаў было згенеравана аўтаматычна з выкарыстаннем python-скрыпта, які мабыць па недаглядзе быў пакінуты ў пакетах і ўключаў у сабе працоўныя ўліковыя дадзеныя, выкарыстаныя падчас нападаў. Пакеты былі апублікаваны пад мноствам розных уліковых запісаў з выкарыстаннем метадаў, якія ўскладняюць разблытванне слядоў і аператыўную ідэнтыфікацыю праблемных пакетаў.
Акрамя ашуканскіх дзеянняў у рэпазітарах NPM і PyPi таксама выяўлена некалькі спроб публікацыі шкоднасных пакетаў:
- У рэпазітары PyPI знойдзены 451 шкоднасны пакет, які маскіраваўся пад некаторыя папулярныя бібліятэкі пры дапамозе тайпсквотынга (прызначэнне падобных імёнаў, якія адрозніваюцца асобнымі сімваламі, напрыклад, vper замест vyper, bitcoinnlib замест bitcoinlib, ccryptofeed замест cryptofeed, ccxtt замест замест selenium, pinstaller замест pyinstaller і да т.п.). Пакеты ўключалі абфусціраваны код для крадзяжу крыптавалюты, які вызначаў наяўнасць ідэнтыфікатараў крыптакашалькоў у буферы абмену і мяняў іх на кашалёк зламысніка (мяркуецца, што пры здзяйсненні аплаты ахвяра не заўважыць, што перанесены праз буфер абмену нумар кашалька адрозніваецца). Падмену ажыццяўляла ўбудаваны ў браўзэр дадатак, якое выконвалася ў кантэксце кожнай прагляданай web-старонкі.
- У рэпазітары PyPI выяўлена серыя шкоднасных HTTP-бібліятэк. Шкодная актыўнасць была знойдзена ў 41 пакеце, імёны якіх выбіраліся з выкарыстаннем метадаў тайпсквотынга і нагадвалі папулярныя бібліятэкі (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2 і да т.п.). Начынне было стылізавана пад працуючыя HTTP-бібліятэкі або капіявала код існуючых бібліятэк, а ў апісанні прыводзіліся сцвярджэнні аб перавагах і параўнанні з легітымнымі HTTP-бібліятэкамі. Шкодная актыўнасць зводзілася альбо да загрузкі шкоднаснага ПА на сістэму, альбо да збору і адпраўцы канфідэнцыйных дадзеных.
- У NPM выяўлена 16 JavaScript-пакетаў (speedte*, trova*, lagra), якія апроч заяўленай функцыянальнасці (тэставанне прапускной здольнасці) таксама ўтрымоўвалі код для майнінгу криптовалюты без вядзёнай карыстача.
- У NPM выяўлены 691 шкоднасны пакет. Вялікая частка праблемных пакетаў прыкідвалася праектамі Yandex (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms і да т.п.) і ўключала код для адпраўкі канфідэнцыйнай інфармацыі на вонкавыя серверы. Мяркуецца, якія размясцілі пакеты спрабавалі дамагчыся падстаноўкі ўласнай залежнасці пры зборцы праектаў у Yandex (метад падмены ўнутраных залежнасцяў). У рэпазітары PyPI тымі ж даследнікамі знойдзена 49 пакетаў (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp і да т.п.) з обфусцированным шкоднасным кодам, загружальным і якія запускаюць выкананы файл з вонкавага сервера.
Крыніца: opennet.ru