Zabilježen je napad na korisnike NPM direktorija, uslijed kojeg je 20. februara u NPM spremište smješteno više od 15 hiljada paketa, u čijim README fajlovima su postojali linkovi ka phishing stranicama ili referalni linkovi za koje plaćene su tantijeme. Analiza paketa otkrila je 190 jedinstvenih phishing ili promotivnih linkova koji pokrivaju 31 domenu.
Nazivi paketa su odabrani da privuku interesovanje laika, na primjer, "free-tiktok-followers", "free-xbox-codes", "instagram-followers-free" itd. Izračun je napravljen da se lista nedavnih ažuriranja na glavnoj stranici NPM-a popuni spam paketima. Opisi paketa uključivali su linkove koji obećavaju besplatne poklone, poklone, varanje igara i besplatne usluge za dobijanje pratilaca i lajkova na društvenim mrežama kao što su TikTok i Instagram. Ovo nije prvi takav napad, u decembru je objavljeno 144 hiljade spam paketa u NuGet, NPM i PyPi direktorijumima.
Sadržaj paketa je automatski generisan pomoću python skripte, koja je očigledno ostavljena u paketima zbog previda i uključuje radne akreditive korišćene tokom napada. Paketi su objavljeni pod mnogo različitih naloga koristeći metode koje otežavaju otkrivanje traga i brzo prepoznavanje problematičnih paketa.
Pored lažnih aktivnosti, u NPM i PyPi repozitorijumima je takođe identifikovano nekoliko pokušaja objavljivanja zlonamernih paketa:
- 451 zlonamjerni paket je pronađen u PyPI spremištu, koji su maskirani u neke popularne biblioteke korištenjem typequattinga (dodjeljivanje sličnih imena koja se razlikuju po pojedinačnim znakovima, na primjer, vper umjesto vyper, bitcoinnlib umjesto bitcoinlib, ccryptofeed umjesto cryptofeed, ccxtt umjesto ccxt, cryptocommpare umjesto cryptocompare, seleium umjesto selenium, pinstaller umjesto pyinstaller, itd.). Paketi su uključivali zamagljeni kod za krađu kriptovaluta, koji je utvrdio prisustvo ID-ova kriptovaluta u međuspremniku i promijenio ih u novčanik napadača (pretpostavlja se da prilikom plaćanja žrtva neće primijetiti da je broj novčanika prenesen putem međuspremnik je drugačiji). Zamjena je izvršena dodatkom pretraživača koji je izveden u kontekstu svake pregledane web stranice.
- Niz zlonamjernih HTTP biblioteka je identificiran u PyPI spremištu. Zlonamjerna aktivnost je pronađena u 41 paketu čija su imena odabrana korištenjem metoda skvotiranja tipova i ličila su na popularne biblioteke (aio5, requestst, ulrlib, ullb, libhttps, piphttps, httpxv2, itd.). Nadjev je stiliziran tako da izgleda kao funkcionalne HTTP biblioteke ili kopiran kod iz postojećih biblioteka, a opis je naveo prednosti i poređenja sa legitimnim HTTP bibliotekama. Zlonamjerna aktivnost bila je ograničena ili na preuzimanje zlonamjernog softvera na sistem ili na prikupljanje i slanje osjetljivih podataka.
- NPM je identifikovao 16 JavaScript paketa (speedte*, trova*, lagra), koji su pored deklarisane funkcionalnosti (testiranje propusnosti) sadržali i kod za rudarenje kriptovaluta bez znanja korisnika.
- NPM je identifikovao 691 zlonamerni paket. Većina problematičnih paketa se pretvarala da su Yandex projekti (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, itd.) i uključivali su kod za slanje povjerljivih informacija vanjskim serverima. Pretpostavlja se da su oni koji su postavljali pakete pokušali da postignu zamenu sopstvene zavisnosti prilikom izgradnje projekata u Yandexu (metod zamene internih zavisnosti). U PyPI repozitorijumu, isti istraživači su pronašli 49 paketa (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, itd.) sa zamagljenim zlonamernim kodom koji preuzima i pokreće izvršni fajl sa eksternog servera.
izvor: opennet.ru