Usa ka pag-atake sa mga tiggamit sa direktoryo sa NPM ang natala, ingon usa ka sangputanan diin, kaniadtong Pebrero 20, kapin sa 15 ka libo nga mga pakete ang gibutang sa repositoryo sa NPM, sa mga file sa README diin adunay mga link sa mga site sa phishing o mga link sa referral kung diin. gibayran ang royalties. Ang pagtuki sa mga pakete nagpadayag sa 190 ka talagsaon nga phishing o promotional links nga naglangkob sa 31 ka domain.
Ang mga ngalan sa package gipili aron madani ang interes sa layko, pananglitan, "free-tiktok-followers" "free-xbox-codes", "instagram-followers-free", ug uban pa. Gihimo ang kalkulasyon aron mapuno ang lista sa mga bag-ong update sa panguna nga panid sa NPM nga adunay mga pakete sa spam. Ang mga paghubit sa mga pakete naglakip sa mga link nga nagsaad nga libre nga mga giveaway, mga regalo, mga cheat sa dula, ug mga libre nga serbisyo aron makakuha mga tagasunod ug gusto sa mga social network sama sa TikTok ug Instagram. Dili kini ang una nga ingon nga pag-atake; kaniadtong Disyembre, 144 ka libo nga mga pakete sa spam ang gipatik sa mga direktoryo sa NuGet, NPM ug PyPi.
Ang mga sulud sa mga pakete awtomatiko nga namugna gamit ang usa ka script sa python, nga dayag nga nahabilin sa mga pakete pinaagi sa usa ka pagdumala ug gilakip ang mga kredensyal sa pagtrabaho nga gigamit sa panahon sa pag-atake. Ang mga pakete gimantala ubos sa daghang lain-laing mga asoy gamit ang mga pamaagi nga nagpalisud sa pag-unravel sa agianan ug sa madali nga pag-ila sa mga problema nga pakete.
Dugang pa sa malimbongon nga mga kalihokan, daghang mga pagsulay sa pagmantala sa mga malisyosong pakete ang giila usab sa NPM ug PyPi repository:
- Ang 451 nga malisyosong mga pakete nakit-an sa PyPI repository, nga nagtakuban isip pipila ka popular nga mga librarya gamit ang mga typequatting (nag-assign sa susama nga mga ngalan nga lahi sa indibidwal nga mga karakter, pananglitan, vper imbes vyper, bitcoinnlib imbes bitcoinlib, ccryptofeed imbes nga cryptofeed, ccxtt imbes nga ccxt, cryptocommpare imbes nga cryptocompare, seleium imbes selenium, pinstaller imbes pyinstaller, ug uban pa). Ang mga pakete naglakip sa obfuscated code alang sa pagpangawat sa mga cryptocurrencies, nga nagtino sa presensya sa mga crypto-wallet ID sa clipboard ug giusab kini ngadto sa pitaka sa tig-atake (gituohan nga sa pagbayad, ang biktima dili makamatikod nga ang numero sa pitaka gibalhin pinaagi sa lahi ang clipboard). Ang pag-ilis gihimo pinaagi sa usa ka browser add-on nga gihimo sa konteksto sa matag web page nga gitan-aw.
- Usa ka serye sa mga malisyoso nga HTTP nga librarya ang giila sa PyPI repository. Ang malisyoso nga kalihokan nakit-an sa 41 ka pakete kansang mga ngalan gipili gamit ang mga pamaagi sa pag-typequatting ug susama sa mga sikat nga librarya (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2, ug uban pa). Ang pagpuno gi-istilo nga morag nagtrabaho nga mga librarya sa HTTP o gikopya nga code gikan sa kasamtangan nga mga librarya, ug ang paghulagway naghimo sa mga pag-angkon mahitungod sa mga benepisyo ug pagtandi sa mga lehitimong HTTP nga mga librarya. Ang malisyoso nga kalihokan limitado sa pag-download sa malware sa sistema o pagkolekta ug pagpadala sa sensitibo nga datos.
- Giila sa NPM ang 16 nga mga pakete sa JavaScript (speedte *, trova *, lagra), nga, dugang sa gipahayag nga pag-andar (throughput testing), adunay usab code alang sa pagmina sa cryptocurrency nga wala nahibal-an sa gumagamit.
- Giila sa NPM ang 691 ka malisyosong pakete. Kadaghanan sa mga problemadong pakete nagpakaaron-ingnon nga mga proyekto sa Yandex (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, ug uban pa) ug gilakip ang code alang sa pagpadala sa kompidensyal nga kasayuran sa mga eksternal nga server. Gituohan nga kadtong nagbutang sa mga pakete misulay sa pagkab-ot sa pag-ilis sa ilang kaugalingong dependency sa pagtukod og mga proyekto sa Yandex (ang pamaagi sa pag-ilis sa mga internal nga dependency). Sa repositoryo sa PyPI, ang parehas nga mga tigdukiduki nakakaplag ug 49 ka pakete (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, ug uban pa) nga adunay natago nga malisyoso nga code nga nag-download ug naglansad sa usa ka executable file gikan sa usa ka eksternal nga server.
Source: opennet.ru