Es va registrar un atac als usuaris del directori NPM, com a conseqüència del qual, el 20 de febrer, es van col·locar més de 15 mil paquets al repositori NPM, als fitxers README dels quals hi havia enllaços a llocs de pesca o enllaços de referència per als quals es van pagar drets d'autor. L'anàlisi dels paquets va revelar 190 enllaços de pesca o promocionals únics que cobreixen 31 dominis.
Els noms dels paquets es van triar per atreure l'interès del profà, per exemple, "free-tiktok-followers", "free-xbox-codes", "instagram-followers-free", etc. El càlcul es va fer per omplir la llista d'actualitzacions recents a la pàgina principal de NPM amb paquets de correu brossa. Les descripcions dels paquets incloïen enllaços que prometien obsequis gratuïts, regals, trucs de jocs i serveis gratuïts per aconseguir seguidors i likes a xarxes socials com TikTok i Instagram. Aquest no és el primer atac d'aquest tipus; al desembre, es van publicar 144 mil paquets de correu brossa als directoris NuGet, NPM i PyPi.
El contingut dels paquets es va generar automàticament mitjançant un script Python, que aparentment es va deixar als paquets per un descuit i va incloure les credencials de treball utilitzades durant l'atac. Els paquets s'han publicat amb molts comptes diferents utilitzant mètodes que dificulten desentranyar el camí i identificar ràpidament paquets problemàtics.
A més de les activitats fraudulentes, també s'han identificat diversos intents de publicar paquets maliciosos als repositoris NPM i PyPi:
- Es van trobar 451 paquets maliciosos al repositori PyPI, que es van disfressar com algunes biblioteques populars utilitzant typesquatting (assignant noms similars que difereixen en caràcters individuals, per exemple, vper en lloc de vyper, bitcoinnlib en lloc de bitcoinlib, ccryptofeed en lloc de cryptofeed, ccxtt en lloc de ccxt, cryptocommpare en lloc de cryptocompare, seleium en lloc de selenium, pinstaller en lloc de pyinstaller, etc.). Els paquets incloïen un codi ofuscat per robar criptomonedes, que determinava la presència d'identificadors de criptomoneda al porta-retalls i els canviava a la cartera de l'atacant (se suposa que en fer un pagament, la víctima no s'adonarà que el número de cartera transferit a través del el porta-retalls és diferent). La substitució es va dur a terme mitjançant un complement del navegador que es va realitzar en el context de cada pàgina web visualitzada.
- S'han identificat una sèrie de biblioteques HTTP malicioses al repositori PyPI. S'ha trobat activitat maliciosa en 41 paquets els noms dels quals es van seleccionar mitjançant mètodes de typequatting i s'assemblaven a les biblioteques populars (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2, etc.). El farciment s'ha dissenyat per semblar biblioteques HTTP que funcionen o codi copiat de biblioteques existents, i la descripció va fer afirmacions sobre avantatges i comparacions amb biblioteques HTTP legítimes. L'activitat maliciosa es limitava a baixar programari maliciós al sistema o a recopilar i enviar dades sensibles.
- NPM va identificar 16 paquets JavaScript (speedte*, trova*, lagra), que, a més de la funcionalitat declarada (proves de rendiment), també contenien codi per a la mineria de criptomonedes sense que l'usuari ho sàpiga.
- NPM va identificar 691 paquets maliciosos. La majoria dels paquets problemàtics pretenien ser projectes Yandex (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, etc.) i incloïen codi per enviar informació confidencial a servidors externs. Se suposa que els que van col·locar els paquets van intentar aconseguir la substitució de la seva pròpia dependència en construir projectes a Yandex (el mètode de substitució de dependències internes). Al repositori PyPI, els mateixos investigadors van trobar 49 paquets (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, etc.) amb codi maliciós ofuscat que baixa i llança un fitxer executable des d'un servidor extern.
Font: opennet.ru