Atako kontraŭ uzantoj de la dosierujo de NPM estis registrita, rezulte de kiu, la 20-an de februaro, pli ol 15 mil pakaĵoj estis metitaj en la deponejon de NPM, en la dosierojn README, de kiuj estis ligiloj al phishing-ejoj aŭ referencaj ligiloj por kiuj. tantiemoj estis pagitaj. La analizo de la pakaĵoj rivelis 190 unikajn phishing aŭ reklamajn ligilojn kovrantajn 31 domajnojn.
Pakaĵnomoj estis elektitaj por altiri la intereson de la laiko, ekzemple, "free-tiktok-followers" "free-xbox-codes", "instagram-followers-free", ktp. La kalkulo estis farita por plenigi la liston de lastatempaj ĝisdatigoj sur la ĉefa paĝo de NPM kun spamaj pakoj. La priskriboj de la pakaĵoj inkludis ligilojn promesantajn senpagajn donacojn, donacojn, ludajn trompojn kaj senpagajn servojn por akiri sekvantojn kaj ŝatojn en sociaj retoj kiel TikTok kaj Instagram. Ĉi tio ne estas la unua tia atako; en decembro, 144 mil spampakaĵoj estis publikigitaj en la dosierujoj NuGet, NPM kaj PyPi.
La enhavo de la pakaĵoj estis generitaj aŭtomate uzante python-skripton, kiu ŝajne estis lasita en la pakaĵoj per superrigardo kaj inkludis la laborajn akreditaĵojn uzitajn dum la atako. Pakoj estis publikigitaj sub multaj malsamaj kontoj uzante metodojn kiuj malfaciligas malimpliki la vojon kaj rapide identigi problemajn pakaĵojn.
Krom fraŭdaj agadoj, pluraj provoj publikigi malicajn pakaĵojn ankaŭ estis identigitaj en la deponejoj de NPM kaj PyPi:
- 451 malicaj pakaĵoj estis trovitaj en la deponejo de PyPI, kiuj estis alivestitaj kiel kelkaj popularaj bibliotekoj uzante tipsquatting (asignante similajn nomojn kiuj malsamas en individuaj signoj, ekzemple, vper anstataŭ vyper, bitcoinnlib anstataŭ bitcoinlib, ccryptofeed anstataŭ cryptofeed, ccxtt anstataŭe de ccxt, cryptocommpare anstataŭ cryptocompare, seleium anstataŭ selenio, pinstaller anstataŭ pyinstaller, ktp.). La pakaĵoj inkludis malklarigitan kodon por ŝtelado de kriptaj moneroj, kiu determinis la ĉeeston de krip-monujo-identigiloj en la tondujo kaj ŝanĝis ilin al la monujo de la atakanto (oni supozas, ke kiam ili faras pagon, la viktimo ne rimarkos, ke la monujo nombro translokigita per la tondujo estas malsama). La anstataŭigo estis efektivigita per retumila aldonaĵo, kiu estis farita en la kunteksto de ĉiu retejo vidita.
- Serio de malicaj HTTP-bibliotekoj estis identigitaj en la deponejo de PyPI. Malica agado estis trovita en 41 pakaĵoj, kies nomoj estis elektitaj per taskvataj metodoj kaj similis popularajn bibliotekojn (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2, ktp.). La kompletigo estis stilita por aspekti kiel funkciaj HTTP-bibliotekoj aŭ kopiita kodo de ekzistantaj bibliotekoj, kaj la priskribo faris asertojn pri avantaĝoj kaj komparoj kun legitimaj HTTP-bibliotekoj. Malica agado estis limigita al aŭ elŝutado de malware sur la sistemo aŭ kolektado kaj sendo de sentemaj datumoj.
- NPM identigis 16 JavaScript-pakaĵojn (speedte*, trova*, lagra), kiuj, krom la deklarita funkcieco (traigo-testado), ankaŭ enhavis kodon por kripta monero-minado sen la scio de la uzanto.
- NPM identigis 691 malicajn pakaĵojn. La plej multaj el la problempakaĵoj ŝajnigis esti Yandex-projektoj (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, ktp.) kaj inkludis kodon por sendi konfidencajn informojn al eksteraj serviloj. Oni supozas, ke tiuj, kiuj metis la pakaĵojn, provis atingi anstataŭigon de sia propra dependeco dum konstruado de projektoj en Yandex (la metodo por anstataŭigi internajn dependecojn). En la deponejo de PyPI, la samaj esploristoj trovis 49 pakaĵojn (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, ktp.) kun malklarigita malica kodo, kiu elŝutas kaj lanĉas plenumeblan dosieron de ekstera servilo.
fonto: opennet.ru