Es wurde ein Angriff auf NPM-Verzeichnisnutzer registriert, in dessen Folge am 20. Februar ĂŒber 15 Pakete im NPM-Repository veröffentlicht wurden. Die README-Dateien enthielten Links zu Phishing-Seiten oder Empfehlungslinks fĂŒr Klicks, fĂŒr die LizenzgebĂŒhren gezahlt wurden. Bei der Analyse wurden in den Paketen 190 eindeutige Phishing- oder Werbelinks gefunden, die 31 DomĂ€nen abdeckten.
Die Paketnamen wurden so gewĂ€hlt, dass sie das Interesse der Ăffentlichkeit wecken, zum Beispiel âfree-tiktok-followersâ, âfree-xbox-codesâ, âinstagram-followers-freeâ usw. Ziel war es, die Liste der neuesten Updates auf der NPM-Hauptseite mit Spam-Paketen zu fĂŒllen. Die Paketbeschreibungen enthielten Links, die kostenlose Werbegeschenke, Geschenke, Spiel-Cheats sowie kostenlose Dienste zur Steigerung von Abonnenten und Likes in sozialen Netzwerken wie TikTok und Instagram versprachen. Dies ist nicht der erste derartige Angriff; im Dezember wurden 144 Spam-Pakete in den Verzeichnissen NuGet, NPM und PyPi veröffentlicht.
Der Inhalt der Pakete wurde automatisch mithilfe eines Python-Skripts generiert, das offenbar versehentlich in den Paketen belassen wurde und die beim Angriff verwendeten Anmeldeinformationen enthielt. Die Pakete wurden unter vielen verschiedenen Konten veröffentlicht, wobei Techniken zum Einsatz kamen, die es schwierig machen, die Spuren zu entwirren und problematische Pakete schnell zu identifizieren.
Neben betrĂŒgerischen AktivitĂ€ten wurden in den NPM- und PyPi-Repositories auch mehrere Versuche zur Veröffentlichung schĂ€dlicher Pakete festgestellt:
- Im PyPI-Repository wurden 451 Schadpakete gefunden, die sich durch Typosquatting als gĂ€ngige Bibliotheken tarnten (Vergabe Ă€hnlicher Namen, die sich in einzelnen Buchstaben unterscheiden, z. B. vper statt vyper, bitcoinnlib statt bitcoinlib, ccryptofeed statt cryptofeed, ccxtt statt ccxt, cryptocommpare statt cryptocompare, seleium statt selenium, pinstaller statt pyinstaller usw.). Die Pakete enthielten verschleierten Code zum Diebstahl von KryptowĂ€hrungen, der das Vorhandensein von Krypto-Wallet-Kennungen in der Zwischenablage erkannte und diese durch die Wallet-Nummer des Angreifers ersetzte (es wird davon ausgegangen, dass das Opfer bei einer Zahlung nicht bemerkt, dass die ĂŒber die Zwischenablage ĂŒbertragene Wallet-Nummer eine andere ist). Die Ersetzung erfolgte durch ein eingebettetes Browser-Add-on, das im Kontext jeder aufgerufenen Webseite ausgefĂŒhrt wurde.
- Im PyPI-Repository wurde eine Reihe bösartiger HTTP-Bibliotheken identifiziert. SchĂ€dliche AktivitĂ€ten wurden in 41 Paketen festgestellt, deren Namen mithilfe von Typosquatting-Methoden ausgewĂ€hlt wurden und gĂ€ngigen Bibliotheken Ă€hnelten (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2 usw.). Die Nutzlast wurde als funktionierende HTTP-Bibliotheken stilisiert oder kopierte den Code bestehender Bibliotheken. Die Beschreibungen enthielten Aussagen ĂŒber die Vorteile und Vergleiche mit legitimen HTTP-Bibliotheken. SchĂ€dliche AktivitĂ€ten beschrĂ€nkten sich entweder auf das Herunterladen von Malware auf das System oder das Sammeln und Senden vertraulicher Daten.
- NPM identifizierte 16 JavaScript-Pakete (speedte*, trova*, lagra), die neben ihrer angegebenen FunktionalitÀt (Bandbreitentest) auch Code zum Mining von KryptowÀhrungen ohne Wissen des Benutzers enthielten.
- In NPM wurden 691 schĂ€dliche Pakete entdeckt. Die meisten der problematischen Pakete gaben sich als Yandex-Projekte aus (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms usw.) und enthielten Code zum Senden vertraulicher Informationen an externe Server. ServerEs wird vermutet, dass die Verfasser der Pakete versuchten, beim Erstellen von Projekten in Yandex ihre eigenen AbhĂ€ngigkeiten zu ersetzen (eine Methode zum Ersetzen interner AbhĂ€ngigkeiten). Im PyPI-Repository fanden dieselben Forscher 49 Pakete (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp usw.), die verschleierten Schadcode enthielten, der eine ausfĂŒhrbare Datei von einem externen Server herunterlĂ€dt und ausfĂŒhrt. Server.
Source: opennet.ru
