Salvestati rünnak NPM-i kataloogi kasutajate vastu, mille tulemusena paigutati 20. veebruaril NPM-i hoidlasse üle 15 tuhande paketi, mille README-failides olid lingid andmepüügisaitidele või viitelingid, mille jaoks maksti autoritasusid. Pakettide analüüs näitas 190 ainulaadset andmepüügi- või reklaamilinki, mis katavad 31 domeeni.
Võhiku huvi äratamiseks valiti paketinimed, näiteks "free-tiktok-followers" "free-xbox-codes", "instagram-followers-free" jne. Arvutus tehti selleks, et täita NPM-i põhilehe viimaste värskenduste loend rämpspostipakettidega. Pakettide kirjeldused sisaldasid linke, mis lubasid tasuta kingitusi, kingitusi, mängupettusi ja tasuta teenuseid, et saada jälgijaid ja meeldimisi sotsiaalvõrgustikes, nagu TikTok ja Instagram. See pole esimene selline rünnak, detsembris avaldati NuGeti, NPM ja PyPi kataloogides 144 tuhat rämpspostipaketti.
Pakettide sisu genereeriti automaatselt pythoni skripti abil, mis ilmselt jäeti pakettides vahele ja sisaldas rünnaku ajal kasutatud töömandaate. Pakette on avaldatud paljude erinevate kontode all, kasutades meetodeid, mis raskendavad probleemsete pakettide lahtiharutamist ja kiiret tuvastamist.
Lisaks petturlikule tegevusele on NPM-i ja PyPi hoidlates tuvastatud ka mitmeid pahatahtlike pakettide avaldamise katseid:
- PyPI hoidlast leiti 451 pahatahtlikku paketti, mis maskeeriti mõnede populaarsete teekidena, kasutades typequatting'i (määrates sarnaseid nimesid, mis erinevad üksikute märkide poolest, näiteks vper asemel vyper, bitcoinnlib asemel bitcoinlib, ccryptofeed asemel cryptofeed, ccxtt asemel ccxt, krüptovõrdlemise asemel krüptovõrdlus, seleeni asemel seleium, pyinstalleri asemel pinstaller jne). Paketid sisaldasid krüptovaluutade varastamise hägustatud koodi, mis tegi kindlaks krüptorahakoti ID-de olemasolu lõikepuhvril ja muutis need ründaja rahakotiks (eeldatakse, et makse sooritamisel ei märka ohver, et rahakoti number on lõikepuhvri kaudu üle kantud on erinev). Asendamine viidi läbi brauserisse sisseehitatud lisandmooduli abil, mis viidi läbi iga vaadatud veebilehe kontekstis.
- PyPI hoidlas on tuvastatud rida pahatahtlikke HTTP-teeke. Pahatahtlikku tegevust leiti 41 paketist, mille nimed valiti typequatting meetodite abil ja mis meenutasid populaarseid teeke (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2 jne). Täidis nägi välja nagu töötavad HTTP-teegid või kopeeritud kood olemasolevatest teekidest ning kirjelduses väideti eeliseid ja võrdlusi seaduslike HTTP-teekidega. Pahatahtlik tegevus piirdus pahavara süsteemi allalaadimise või tundlike andmete kogumise ja saatmisega.
- NPM tuvastas 16 JavaScripti paketti (speedte*, trova*, lagra), mis lisaks deklareeritud funktsionaalsusele (läbilaskvuse testimine) sisaldasid ka koodi krüptoraha kaevandamiseks ilma kasutaja teadmata.
- NPM-is tuvastati 691 pahatahtlikku paketti. Enamik problemaatilistest pakettidest imiteerisid Yandexi projekte (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms jne) ja sisaldasid koodi konfidentsiaalse teabe saatmiseks välistele serveritele. serveridArvatakse, et pakettide postitajad üritasid Yandexis projektide loomisel asendada oma sõltuvusi (meetod sisemiste sõltuvuste asendamiseks). PyPI hoidlast leidsid samad teadlased 49 paketti (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp jne), mis sisaldasid hägustatud pahatahtlikku koodi, mis laadib alla ja käivitab käivitatava faili väliselt serverilt. server.
Allikas: opennet.ru
