Der blev registreret et angreb på brugere af NPM-kataloget, hvilket resulterede i, at mere end 20 tusind pakker den 15. februar blev placeret i NPM-arkivet. README-filerne indeholdt links til phishing-sider eller henvisningslinks, hvor der betales royalties for klik. Under analysen blev der identificeret 190 unikke phishing- eller reklamelinks i pakkerne, der dækkede 31 domæner.
Navnene på pakkerne blev valgt for at tiltrække almindelige menneskers interesse, for eksempel "gratis-tiktok-følgere", "gratis-xbox-koder", "gratis-instagram-følgere" osv. Ideen var at fylde listen over de seneste opdateringer på NPM-hjemmesiden med spampakker. Beskrivelserne af pakkerne indeholdt links, der lovede gratis giveaways, gaver, spilsnyd og gratis tjenester til at øge antallet af følgere og likes på sociale netværk som TikTok og Instagram. Dette er ikke det første angreb af denne art; I december blev 144 tusind spampakker offentliggjort i NuGet-, NPM- og PyPi-mapperne.
Indholdet af pakkerne blev genereret automatisk ved hjælp af et Python-script, der tilsyneladende utilsigtet blev efterladt i pakkerne, og som indeholdt de arbejdsoplysninger, der blev brugt under angrebet. Pakkerne blev offentliggjort under mange forskellige konti ved hjælp af teknikker, der gør det vanskeligt at følge sporet og hurtigt identificere problematiske pakker.
Ud over svigagtig aktivitet er der også blevet opdaget adskillige forsøg på at offentliggøre ondsindede pakker i NPM- og PyPi-arkiverne:
- 451 ondsindede pakker blev fundet i PyPI-arkivet. Disse pakker var forklædt som populære biblioteker ved hjælp af typosquatting (tildeling af lignende navne, der adskiller sig i individuelle tegn, for eksempel vper i stedet for vyper, bitcoinnlib i stedet for bitcoinlib, ccryptofeed i stedet for cryptofeed, ccxtt i stedet for ccxt, cryptocommpare i stedet for cryptocompare, seleium i stedet for selenium, pinstaller i stedet for pyinstaller osv.). Pakkerne indeholdt forvrænget kryptovaluta-stjælekode, der registrerede tilstedeværelsen af krypto-wallet-ID'er i udklipsholderen og ændrede dem til angriberens wallet (det antages, at offeret, når de foretager en betaling, ikke vil bemærke, at wallet-nummeret, der overføres via udklipsholderen, er anderledes). Udskiftningen blev udført af et browsertilføjelsesprogram, der blev udført i konteksten af hver webside, der blev vist.
- En række ondsindede HTTP-biblioteker er blevet opdaget i PyPI-arkivet. Der blev fundet skadelig aktivitet i 41 pakker, hvis navne blev valgt ved hjælp af typosquatting-metoder og lignede populære biblioteker (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2 osv.). Nyttelasten var designet til at ligne fungerende HTTP-biblioteker eller kopierede koden fra eksisterende biblioteker, og beskrivelsen indeholdt påstande om fordelene og sammenligninger med legitime HTTP-biblioteker. Den ondsindede aktivitet bestod enten i at downloade malware på systemet eller i at indsamle og sende fortrolige data.
- NPM identificerede 16 JavaScript-pakker (speedte*, trova*, lagra), der udover deres angivne funktionalitet (båndbreddetest) også indeholdt kode til minedrift af kryptovaluta uden brugerens viden.
- 691 ondsindede pakker blev fundet i NPM. De fleste af de problematiske pakker efterlignede Yandex-projekter (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms osv.) og indeholdt kode til at sende fortrolige oplysninger til eksterne servere. servereDet menes, at de, der postede pakkerne, forsøgte at erstatte deres egne afhængigheder, da de byggede projekter i Yandex (en metode til at erstatte interne afhængigheder). I PyPI-arkivet fandt de samme forskere 49 pakker (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp osv.), der indeholdt forvrænget skadelig kode, der downloader og kører en eksekverbar fil fra en ekstern server. server.
Kilde: opennet.ru
