Un attaccu à l'utilizatori di u repertoriu NPM hè statu registratu, per via di quale, u 20 di ferraghju, più di 15 mila pacchetti sò stati posti in u repository NPM, in i schedari README di quale ci era ligami à siti di phishing o ligami di riferimentu per quale. royalties sò stati pagati. L'analisi di i pacchetti hà revelatu 190 phishing unichi o ligami promozionali chì coprenu 31 domini.
I nomi di i pacchetti sò stati scelti per attruverà l'interessu di i laici, per esempiu, "free-tiktok-followers" "free-xbox-codes", "instagram-followers-free", etc. U calculu hè statu fattu per populà a lista di l'aghjurnamenti recenti nantu à a pagina principale di NPM cù pacchetti spam. E descrizzioni di i pacchetti includenu ligami chì prumettenu rigali gratuiti, rigali, trucchi di ghjocu è servizii gratuiti per uttene seguitori è piace nantu à e rete soziale cum'è TikTok è Instagram. Questu ùn hè micca u primu tali attaccu; in dicembre, 144 mila pacchetti di spam sò stati publicati in i repertorii NuGet, NPM è PyPi.
I cuntenuti di i pacchetti sò stati generati automaticamente cù un script python, chì apparentemente era lasciatu in i pacchetti da una sorveglianza è cumprendi i credenziali di travagliu utilizati durante l'attaccu. I pacchetti sò stati publicati sottu parechji cunti diffirenti cù metudi chì facenu difficiule di svelà u percorsu è identificà rapidamente i pacchetti problematici.
In più di l'attività fraudulente, parechji tentativi di pubblicà pacchetti maliziusi sò ancu identificati in i repositori NPM è PyPi:
- 451 pacchetti maliziusi sò stati truvati in u repository PyPI, chì sò stati disguised cum'è alcune biblioteche populari chì utilizanu typesquatting (assignendu nomi simili chì differiscenu in caratteri individuali, per esempiu, vper invece di vyper, bitcoinnlib invece di bitcoinlib, ccryptofeed invece di cryptofeed, ccxtt invece di ccxt, cryptocommpare invece di cryptocompare, seleium invece di selenium, pinstaller invece di pyinstaller, etc.). I pacchetti includenu codice offuscatu per arrubà e cripthe di cripthe, chì determinava a presenza di ID di criptu-wallet in u clipboard è li cambiò à a billetera di l'attaccante (si assume chì quandu facia un pagamentu, a vittima ùn hà micca avvistu chì u numeru di billetera trasferitu via u clipboard hè diversu). A sustituzione hè stata realizata da un add-on di navigatore chì hè stata realizata in u cuntestu di ogni pagina web vista.
- Una seria di biblioteche HTTP maliziusi sò state identificate in u repository PyPI. L'attività maliciosa hè stata trovata in 41 pacchetti chì i nomi sò stati scelti cù metudi di tippi di squattazione è s'assumiglia à biblioteche populari (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2, etc.). L'imbottitura hè stata stilata per vede cum'è biblioteche HTTP chì funzionanu o codice copiatu da biblioteche esistenti, è a descrizzione hà fattu dichjarazione di benefici è paraguni cù biblioteche HTTP legittimi. L'attività maliciosa hè stata limitata à scaricamentu di malware in u sistema o à cullà è mandà dati sensibili.
- NPM hà identificatu 16 pacchetti JavaScript (speedte*, trova*, lagra), chì, in più di a funziunalità dichjarata (test di throughput), cuntene ancu codice per a minera di criptocurrency senza a cunniscenza di l'utilizatori.
- NPM identificò 691 pacchetti maliziusi. A maiò parte di i pacchetti problematici pretendenu esse prughjetti Yandex (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, etc.) è includenu codice per mandà infurmazione cunfidenziale à servitori esterni. Hè presumitu chì quelli chì pusonu i pacchetti anu pruvatu à ottene a sostituzione di a so propria dependenza quandu custruiscenu prughjetti in Yandex (u metudu di rimpiazzà e dipendenze internu). In u repository PyPI, i stessi circadori truvaru pacchetti 49 (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, etc.) cù codice malicious offuscated chì scarica è lancia un schedariu eseguibile da un servitore esternu.
Source: opennet.ru