Zabilježen je napad na korisnike NPM direktorija, uslijed kojeg je 20. februara u NPM spremište smješteno više od 15 hiljada paketa, u čijim README fajlovima su postojali linkovi ka phishing stranicama ili referalni linkovi za koje plaćene su tantijeme. Analiza paketa otkrila je 190 jedinstvenih phishing ili promotivnih linkova koji pokrivaju 31 domenu.
Nazivi paketa su odabrani da privuku interesovanje laika, na primjer, "free-tiktok-followers", "free-xbox-codes", "instagram-followers-free" itd. Izračun je napravljen da se lista nedavnih ažuriranja na glavnoj stranici NPM-a popuni spam paketima. Opisi paketa uključivali su linkove koji obećavaju besplatne poklone, poklone, varanje igara i besplatne usluge za dobijanje pratilaca i lajkova na društvenim mrežama kao što su TikTok i Instagram. Ovo nije prvi takav napad, u decembru je objavljeno 144 hiljade spam paketa u NuGet, NPM i PyPi direktorijumima.
Sadržaj paketa je automatski generisan pomoću python skripte, koja je očigledno ostavljena u paketima zbog previda i uključuje radne akreditive korišćene tokom napada. Paketi su objavljeni pod mnogo različitih naloga koristeći metode koje otežavaju otkrivanje traga i brzo prepoznavanje problematičnih paketa.
Pored lažnih aktivnosti, u NPM i PyPi repozitorijumima je takođe identifikovano nekoliko pokušaja objavljivanja zlonamernih paketa:
- 451 zlonamjerni paket je pronađen u PyPI spremištu, koji su maskirani u neke popularne biblioteke korištenjem typequattinga (dodjeljivanje sličnih imena koja se razlikuju po pojedinačnim znakovima, na primjer, vper umjesto vyper, bitcoinnlib umjesto bitcoinlib, ccryptofeed umjesto cryptofeed, ccxtt umjesto ccxt, cryptocommpare umjesto cryptocompare, seleium umjesto selenium, pinstaller umjesto pyinstaller, itd.). Paketi su uključivali zamagljeni kod za krađu kriptovaluta, koji je utvrdio prisustvo ID-ova kriptovaluta u međuspremniku i promijenio ih u novčanik napadača (pretpostavlja se da prilikom plaćanja žrtva neće primijetiti da je broj novčanika prenesen putem međuspremnik je drugačiji). Zamjena je izvršena dodatkom pretraživača koji je izveden u kontekstu svake pregledane web stranice.
- Niz zlonamjernih HTTP biblioteka je identificiran u PyPI spremištu. Zlonamjerna aktivnost je pronađena u 41 paketu čija su imena odabrana korištenjem metoda skvotiranja tipova i ličila su na popularne biblioteke (aio5, requestst, ulrlib, ullb, libhttps, piphttps, httpxv2, itd.). Nadjev je stiliziran tako da izgleda kao funkcionalne HTTP biblioteke ili kopiran kod iz postojećih biblioteka, a opis je naveo prednosti i poređenja sa legitimnim HTTP bibliotekama. Zlonamjerna aktivnost bila je ograničena ili na preuzimanje zlonamjernog softvera na sistem ili na prikupljanje i slanje osjetljivih podataka.
- NPM je identifikovao 16 JavaScript paketa (speedte*, trova*, lagra), koji su pored deklarisane funkcionalnosti (testiranje propusnosti) sadržali i kod za rudarenje kriptovaluta bez znanja korisnika.
- U NPM-u je otkriveno 691 zlonamjernih paketa. Većina problematičnih paketa je imitirala Yandex projekte (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, itd.) i uključivala je kod za slanje povjerljivih informacija na eksterne servere. serveriVjeruje se da su oni koji su objavili pakete pokušavali zamijeniti vlastite zavisnosti prilikom izgradnje projekata u Yandexu (metoda zamjene internih zavisnosti). U PyPI repozitoriju, isti istraživači su pronašli 49 paketa (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, itd.) koji sadrže obfusirani zlonamjerni kod koji preuzima i pokreće izvršnu datoteku sa eksternog servera. server.
izvor: opennet.ru
