In NPM wurden 15.000 Pakete für Phishing und Spam identifiziert.

Eine Attacke auf die Benutzer des NPM-Verzeichnisses wurde registriert, bei der am 20. Februar über 15.000 Pakete im NPM-Repository veröffentlicht wurden, in deren README-Dateien Links zu Phishing-Websites oder Empfehlungslinks enthalten waren, für die Gebühren gezahlt werden. Bei der Analyse wurden 190 einzigartige Phishing- oder Werbelinks in den Paketen gefunden, die 31 Domains abdeckten.

Die Paketnamen wurden gewählt, um das Interesse der Allgemeinheit zu wecken, beispielsweise „free-tiktok-followers“, „free-xbox-codes“, „instagram-followers-free“ usw. Ziel war es, die Liste der letzten Updates auf der NPM-Startseite mit Spam-Paketen zu füllen. In den Beschreibungen der Pakete wurden Links angegeben, die kostenlose Verteilungen, Geschenke, Spiel-Cheats sowie kostenlose Dienste zum Erhöhen von Abonnenten und Likes auf sozialen Netzwerken wie TikTok und Instagram versprachen. Dies ist nicht der erste Vorfall dieser Art; im Dezember wurden in den Verzeichnissen NuGet, NPM und PyPi 144.000 Spam-Pakete veröffentlicht.

In NPM wurden 15.000 Pakete für Phishing und Spam identifiziert.

Der Inhalt der Pakete wurde automatisch mit einem Python-Skript generiert, das anscheinend versehentlich in den Paketen belassen wurde und arbeitsfähige Anmeldeinformationen enthielt, die während des Angriffs verwendet wurden. Die Pakete wurden unter vielen verschiedenen Konten veröffentlicht, wobei Methoden eingesetzt wurden, die das Entwirren von Spuren und die zeitnahe Identifizierung problematischer Pakete erschweren.

Neben betrügerischen Aktivitäten in den NPM- und PyPi-Repositories wurden auch mehrere Versuche zur Veröffentlichung bösartiger Pakete festgestellt:

  • Im PyPI-Repository wurden 451 bösartige Pakete gefunden, die sich als einige beliebte Bibliotheken durch Typ-Squatting maskierten (Verwendung ähnlicher Namen, die sich nur in einzelnen Zeichen unterscheiden, z. B. vper statt vyper, bitcoinnlib statt bitcoinlib, ccryptofeed statt cryptofeed, ccxtt statt ccxt, cryptocommpare statt cryptocompare, seleium statt selenium, pinstaller statt pyinstaller usw.). Die Pakete enthielten obfuskierten Code zur Diebstahl von Kryptowährung, der nach dem Vorhandensein von Identifikatoren von Krypto-Wallets in der Zwischenablage suchte und diese durch die Wallet des Angreifers ersetzte (es wird angenommen, dass das Opfer beim Tätigen einer Zahlung nicht bemerkt, dass die durch die Zwischenablage übertragene Wallet-Nummer abweicht). Die Umleitung erfolgte durch ein in den Browser eingebettetes Add-On, das in dem Kontext jeder besuchten Webseite ausgeführt wurde.
  • Im PyPI-Repository wurde eine Serie von schädlichen HTTP-Bibliotheken entdeckt. Schädliche Aktivitäten wurden in 41 Paketen gefunden, deren Namen durch Typosquatting-Methoden gewählt wurden und die populären Bibliotheken ähnelten (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2 usw.). Die Inhalte waren so gestaltet, dass sie funktionierenden HTTP-Bibliotheken ähnelten oder den Code bestehender Bibliotheken kopierten, während in der Beschreibung Vorteile und Vergleiche mit legitimen HTTP-Bibliotheken angeführt wurden. Die schädlichen Aktivitäten bestanden entweder darin, schädliche Software auf das System zu laden oder vertrauliche Daten zu sammeln und zu übertragen.
  • In NPM wurden 16 JavaScript-Pakete (speedte*, trova*, lagra) entdeckt, die neben der angegebenen Funktionalität (Durchsatztests) auch Code zum Mining von Kryptowährungen ohne das Wissen der Benutzer enthielten.
  • In NPM wurden 691 schädliche Pakete entdeckt. Der Großteil der problematischen Pakete gab sich als Projekte von Yandex (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms usw.) aus und enthielt Code zum Versenden vertraulicher Informationen an Dritte. Server. Es wurde angenommen, dass die veröffentlichten Pakete versuchten, ihre eigenen Abhängigkeiten beim Bauen von Projekten in Yandex (Methode zur Manipulation interner Abhängigkeiten) zu substituieren. Forscher fanden im PyPI-Repository 49 Pakete (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp usw.) mit obfuskiertem Schadcode, der eine ausführbare Datei von externen Quellen herunterlädt und ausführt. Server.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster