Καταγράφηκε επίθεση σε χρήστες καταλόγου NPM, με αποτέλεσμα, στις 20 Φεβρουαρίου, πάνω από 15 χιλιάδες πακέτα να τοποθετηθούν στο αποθετήριο NPM, τα αρχεία README των οποίων περιείχαν συνδέσμους σε ιστότοπους ηλεκτρονικού ψαρέματος ή συνδέσμους παραπομπής, για κλικ στα οποία καταβάλλονται δικαιώματα. Κατά τη διάρκεια της ανάλυσης, εντοπίστηκαν 190 μοναδικοί σύνδεσμοι phishing ή διαφήμισης στα πακέτα, που καλύπτουν 31 τομείς.
Τα ονόματα των πακέτων επιλέχθηκαν για να προσελκύσουν το ενδιαφέρον των απλών ανθρώπων, για παράδειγμα, "free-tiktok-followers", "free-xbox-codes", "instagram-followers-free", κ.λπ. Ο υπολογισμός έγινε για να συμπληρωθεί η λίστα πρόσφατων ενημερώσεων στην κύρια σελίδα του NPM με πακέτα ανεπιθύμητης αλληλογραφίας. Οι περιγραφές των πακέτων παρείχαν συνδέσμους που υπόσχονταν δωρεάν δώρα, δώρα, cheats παιχνιδιών, καθώς και δωρεάν υπηρεσίες για την αύξηση των συνδρομητών και των likes σε κοινωνικά δίκτυα όπως το TikTok και το Instagram. Αυτή δεν είναι η πρώτη τέτοια επίθεση. Τον Δεκέμβριο, δημοσιεύθηκαν 144 χιλιάδες πακέτα ανεπιθύμητης αλληλογραφίας στους καταλόγους NuGet, NPM και PyPi.
Τα περιεχόμενα των πακέτων δημιουργήθηκαν αυτόματα χρησιμοποιώντας ένα σενάριο python που προφανώς είχε αφεθεί κατά λάθος στα πακέτα και περιελάμβανε τα λειτουργικά διαπιστευτήρια που χρησιμοποιήθηκαν στην επίθεση. Τα πακέτα δημοσιεύθηκαν κάτω από πολλούς διαφορετικούς λογαριασμούς χρησιμοποιώντας τεχνικές που δυσχεραίνουν την αποκρυπτογράφηση και τον γρήγορο εντοπισμό προβληματικών πακέτων.
Εκτός από τη δόλια δραστηριότητα, έχουν επίσης εντοπιστεί αρκετές προσπάθειες δημοσίευσης κακόβουλων πακέτων στα αποθετήρια NPM και PyPi:
- 451 κακόβουλα πακέτα βρέθηκαν στο αποθετήριο PyPI, τα οποία μεταμφιέζονταν σε δημοφιλείς βιβλιοθήκες χρησιμοποιώντας typosquatting (αντιστοίχιση παρόμοιων ονομάτων που διαφέρουν σε μεμονωμένους χαρακτήρες, για παράδειγμα, vper αντί για vyper, bitcoinnlib αντί για bitcoinlib, ccryptofeed αντί για cryptofeed, ccxtt αντί για ccxt, cryptocommpare αντί για cryptocompare, seleium αντί για selenium, pinstaller αντί για pyinstaller, κ.λπ.). Τα πακέτα περιελάμβαναν ασαφή κώδικα για την κλοπή κρυπτονομισμάτων, ο οποίος ανίχνευε την παρουσία αναγνωριστικών κρυπτονομισμάτων στο πρόχειρο και τα αντικαθιστούσε με το πορτοφόλι του εισβολέα (υποτίθεται ότι κατά την πραγματοποίηση μιας πληρωμής, το θύμα δεν θα παρατηρήσει ότι ο αριθμός πορτοφολιού που μεταφέρθηκε μέσω του προχείρου είναι διαφορετικός). Η αντικατάσταση πραγματοποιήθηκε από ένα ενσωματωμένο πρόσθετο προγράμματος περιήγησης που εκτελέστηκε στο πλαίσιο κάθε ιστοσελίδας που προβλήθηκε.
- Μια σειρά κακόβουλων βιβλιοθηκών HTTP ανακαλύφθηκε στο αποθετήριο PyPI. Κακόβουλη δραστηριότητα εντοπίστηκε σε 41 πακέτα, τα ονόματα των οποίων επιλέχθηκαν με μεθόδους typosquatting και έμοιαζαν με δημοφιλείς βιβλιοθήκες (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2 κ.λπ.). Το ωφέλιμο φορτίο διαμορφώθηκε έτσι ώστε να μοιάζει με λειτουργικές βιβλιοθήκες HTTP ή αντέγραφε τον κώδικα υπαρχουσών βιβλιοθηκών και η περιγραφή περιλάμβανε ισχυρισμούς σχετικά με τα οφέλη και συγκρίσεις με νόμιμες βιβλιοθήκες HTTP. Η κακόβουλη δραστηριότητα συνίστατο είτε στη λήψη κακόβουλου λογισμικού στο σύστημα είτε στη συλλογή και αποστολή εμπιστευτικών δεδομένων.
- Η NPM εντόπισε 16 πακέτα JavaScript (speedte*, trova*, lagra) που, εκτός από τη δηλωμένη λειτουργικότητά τους (δοκιμή εύρους ζώνης), περιείχαν επίσης κώδικα για εξόρυξη κρυπτονομισμάτων εν αγνοία του χρήστη.
- Εντοπίστηκαν 691 κακόβουλα πακέτα στο NPM. Τα περισσότερα από τα προβληματικά πακέτα μιμούνταν έργα Yandex (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, κ.λπ.) και περιλάμβαναν κώδικα για την αποστολή εμπιστευτικών πληροφοριών σε εξωτερικούς διακομιστές. διακομιστέςΠιστεύεται ότι όσοι δημοσίευσαν τα πακέτα προσπαθούσαν να αντικαταστήσουν τις δικές τους εξαρτήσεις κατά την κατασκευή έργων στο Yandex (μια μέθοδος αντικατάστασης εσωτερικών εξαρτήσεων). Στο αποθετήριο PyPI, οι ίδιοι ερευνητές βρήκαν 49 πακέτα (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, κ.λπ.) που περιείχαν κρυμμένο κακόβουλο κώδικα που κατεβάζει και εκτελεί ένα εκτελέσιμο αρχείο από έναν εξωτερικό διακομιστή. υπηρέτης.
Πηγή: opennet.ru
