Cofnodwyd ymosodiad ar ddefnyddwyr cyfeiriadur yr NPM, ac o ganlyniad ar Chwefror 20, postiwyd mwy na 15 mil o becynnau yn ystorfa NPM, yr oedd ei ffeiliau README yn cynnwys dolenni i wefannau gwe-rwydo neu ddolenni atgyfeirio ar gyfer cliciau ar ba freindaliadau yn cael eu talu. Yn ystod y dadansoddiad, nodwyd 190 o ddolenni gwe-rwydo neu hysbysebu unigryw yn y pecynnau, gan gwmpasu 31 parth.
Dewiswyd enwau'r pecynnau i ddenu diddordeb pobl gyffredin, er enghraifft, "dilynwyr di-tiktok", "codau-xbox-am ddim", "dilynwyr instagram", ac ati. Gwnaed y cyfrifiad i lenwi'r rhestr o ddiweddariadau diweddar ar brif dudalen yr NPM gyda phecynnau sbam. Roedd y disgrifiadau o'r pecynnau yn cynnwys dolenni a oedd yn addo rhoddion rhad ac am ddim, anrhegion, twyllwyr gΓͺm, yn ogystal Γ’ gwasanaethau am ddim ar gyfer cynyddu dilynwyr a hoffterau ar rwydweithiau cymdeithasol fel TikTok ac Instagram. Nid dyma'r ymosodiad cyntaf o'r fath; ym mis Rhagfyr, cofnodwyd cyhoeddi 144 mil o becynnau sbam yng nghyfeirlyfrau NuGet, NPM a PyPi.
Cynhyrchwyd cynnwys y pecynnau yn awtomatig gan ddefnyddio sgript python a adawyd yn anfwriadol i bob golwg yn y pecynnau ac a oedd yn cynnwys y manylion gwaith a ddefnyddiwyd yn yr ymosodiad. Cyhoeddwyd y pecynnau o dan lawer o wahanol gyfrifon gan ddefnyddio dulliau a oedd yn ei gwneud yn anodd datrys y trywydd a nodi pecynnau problemus yn gyflym.
Yn ogystal Γ’ gweithgareddau twyllodrus, canfuwyd sawl ymgais i gyhoeddi pecynnau maleisus hefyd yn y storfeydd NPM a PyPi:
- Darganfuwyd 451 o becynnau maleisus yn ystorfa PyPI, a oedd yn cuddio eu hunain fel rhai llyfrgelloedd poblogaidd gan ddefnyddio typequatting (gan aseinio enwau tebyg sy'n wahanol mewn nodau unigol, er enghraifft, vper yn lle vyper, bitcoinnlib yn lle bitcoinlib, ccryptofeed yn lle cryptofeed, ccxtt yn lle ccxt, cryptocompare yn lle cryptocompare, seleiwm yn lle seleniwm, pinstaller yn lle pyinstaller, ac ati). Roedd y pecynnau'n cynnwys cod obfuscated ar gyfer dwyn arian cyfred digidol, a oedd yn canfod presenoldeb dynodwyr waled crypto yn y clipfwrdd a'u newid i waled yr ymosodwr (tybir, wrth wneud taliad, na fydd y dioddefwr yn sylwi bod y rhif waled a drosglwyddwyd trwy'r clipfwrdd yn wahanol). Cyflawnwyd yr amnewid gan ychwanegyn porwr a weithredwyd yng nghyd-destun pob tudalen we a welwyd.
- Mae cyfres o lyfrgelloedd HTTP maleisus wedi'u nodi yn y gadwrfa PyPI. Canfuwyd gweithgarwch maleisus mewn 41 o becynnau, y dewiswyd eu henwau gan ddefnyddio dulliau typequatting ac roeddent yn debyg i lyfrgelloedd poblogaidd (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2, ac ati). Roedd y stwffin wedi'i steilio i fod yn debyg i lyfrgelloedd HTTP sy'n gweithio neu wedi copΓ―o cod llyfrgelloedd presennol, ac roedd y disgrifiad yn cynnwys honiadau am y buddion a chymariaethau Γ’ llyfrgelloedd HTTP cyfreithlon. Roedd gweithgarwch maleisus yn cynnwys naill ai lawrlwytho meddalwedd maleisus i'r system neu gasglu ac anfon data sensitif.
- Nododd NPM 16 o becynnau JavaScript (speedte*, trova*, lagra), a oedd, yn ychwanegol at y swyddogaeth a nodwyd (profi trwybwn), hefyd yn cynnwys cod ar gyfer mwyngloddio arian cyfred digidol heb yn wybod i'r defnyddiwr.
- Nododd NPM 691 o becynnau maleisus. Roedd y rhan fwyaf o'r pecynnau problemus yn esgus bod yn brosiectau Yandex (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, ac ati) ac yn cynnwys cod ar gyfer anfon gwybodaeth gyfrinachol i weinyddion allanol. Tybir bod y rhai a bostiodd y pecynnau yn ceisio disodli eu dibyniaeth eu hunain wrth gydosod prosiectau yn Yandex (dull amnewid dibyniaethau mewnol). Yn ystorfa PyPI, canfu'r un ymchwilwyr 49 o becynnau (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, ac ati) gyda chod maleisus rhwystredig sy'n lawrlwytho ac yn rhedeg ffeil gweithredadwy o weinydd allanol.
Ffynhonnell: opennet.ru