Byl zaznamenán útok na uživatele adresáře NPM, v jehož důsledku bylo 20. února umístěno do úložiště NPM více než 15 tisíc balíčků, v jejichž souborech README se nacházely odkazy na phishingové stránky nebo odkazy na doporučení, na které byly vyplaceny licenční poplatky. Analýza balíčků odhalila 190 unikátních phishingových nebo propagačních odkazů pokrývajících 31 domén.
Názvy balíčků byly zvoleny tak, aby zaujaly laiky, například „free-tiktok-followers“, „free-xbox-codes“, „instagram-followers-free“ atd. Výpočet byl proveden tak, aby se seznam posledních aktualizací na hlavní stránce NPM naplnil spamovými balíčky. Popisy balíčků obsahovaly odkazy slibující bezplatné dárky, dárky, herní cheaty a bezplatné služby pro získání sledujících a lajků na sociálních sítích, jako je TikTok a Instagram. Nejde o první podobný útok, v prosinci bylo v adresářích NuGet, NPM a PyPi zveřejněno 144 tisíc spamových balíčků.
Obsah balíčků byl generován automaticky pomocí python skriptu, který byl zjevně ponechán v balíčcích nedopatřením a zahrnoval pracovní pověření použité během útoku. Balíčky byly publikovány pod mnoha různými účty pomocí metod, které znesnadňují odhalení stopy a rychlou identifikaci problematických balíků.
Kromě podvodných aktivit bylo v úložištích NPM a PyPi identifikováno také několik pokusů o zveřejnění škodlivých balíčků:
- V úložišti PyPI bylo nalezeno 451 škodlivých balíčků, které byly maskovány jako některé populární knihovny pomocí typequattingu (přiřazení podobných názvů, které se liší v jednotlivých znacích, například vper místo vyper, bitcoinnlib místo bitcoinlib, ccryptofeed místo cryptofeed, ccxtt místo ccxt, cryptocommpare místo cryptocompare, seleium místo selenu, pinstaller místo pyinstaller atd.). Balíčky obsahovaly obfuskovaný kód pro krádež kryptoměn, který zjišťoval přítomnost ID kryptopeněženky ve schránce a změnil je na útočníkovu peněženku (předpokládá se, že při platbě si oběť nevšimne, že číslo peněženky přenesené přes schránka je jiná). Nahrazení bylo provedeno doplňkem prohlížeče, který byl proveden v kontextu každé zobrazené webové stránky.
- V úložišti PyPI byla identifikována řada škodlivých HTTP knihoven. Škodlivá aktivita byla nalezena ve 41 balíčcích, jejichž názvy byly vybrány pomocí metod typequattingu a podobaly se populárním knihovnám (aio5, requestt, ulrlib, urllb, libhttps, piphttps, httpxv2 atd.). Náplň byla navržena tak, aby vypadala jako fungující HTTP knihovny nebo zkopírovaný kód z existujících knihoven, a popis obsahoval tvrzení o výhodách a srovnání s legitimními HTTP knihovnami. Škodlivá aktivita byla omezena buď na stahování malwaru do systému, nebo na shromažďování a odesílání citlivých dat.
- NPM identifikovalo 16 JavaScriptových balíčků (speedte*, trova*, lagra), které kromě deklarované funkčnosti (testování propustnosti) obsahovaly i kód pro těžbu kryptoměn bez vědomí uživatele.
- NPM identifikoval 691 škodlivých balíčků. Většina problematických balíčků se vydávala za projekty Yandex (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms atd.) a obsahovala kód pro odesílání důvěrných informací na externí servery. Předpokládá se, že ti, kdo umístili balíčky, se snažili dosáhnout substituce své vlastní závislosti při vytváření projektů v Yandexu (metoda substituce interních závislostí). V úložišti PyPI našli stejní výzkumníci 49 balíčků (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp atd.) s obfuskovaným škodlivým kódem, který stahuje a spouští spustitelný soubor z externího serveru.
Zdroj: opennet.ru