NPM direktorioko erabiltzaileen aurkako erasoa erregistratu zen, eta horren ondorioz, otsailaren 20an, 15 mila pakete baino gehiago jarri ziren NPM biltegian, README fitxategietan phishing guneetarako estekak edo erreferentziazko estekak zeuden. erregaliak ordaindu ziren. Paketeen azterketak 190 domeinu biltzen dituzten phishing- edo sustapen-esteka esklusiboak agerian utzi zituen.
Paketeen izenak laikoen interesa erakartzeko aukeratu ziren, adibidez, "free-tiktok-followers" "free-xbox-codes", "instagram-followers-free", etab. Kalkulua NPM orri nagusian azken eguneratzeen zerrenda spam paketeekin betetzeko egin zen. Paketeen deskribapenetan, doako opariak, opariak, jokoen iruzurrak eta doako zerbitzuak, TikTok eta Instagram bezalako sare sozialetan jarraitzaileak eta gustukoak lortzeko estekak zeuden. Hau ez da horrelako lehen erasoa; abenduan, 144 mila spam pakete argitaratu ziren NuGet, NPM eta PyPi direktorioetan.
Paketeen edukia automatikoki sortu zen python script bat erabiliz, itxuraz gainbegiratu batek paketeetan utzi zuena eta erasoan erabilitako laneko kredentzialak barne. Paketeak hainbat kontutan argitaratu dira, bidea argitzea eta pakete problematikoak azkar identifikatzea zailtzen duten metodoak erabiliz.
Iruzurrezko jarduerez gain, pakete gaiztoak argitaratzeko hainbat saiakera ere identifikatu dira NPM eta PyPi biltegietan:
- PyPI biltegian 451 pakete gaizto aurkitu ziren, liburutegi ezagun batzuez mozorrotuta zeuden typequatting erabiliz (karaktereetan desberdinak diren antzeko izenak esleituz, adibidez, vper vyper-en ordez, bitcoinnlib-ren ordez bitcoinlib-ren ordez, ccryptofeed-ren ordez cryptofeed-en ordez, ccxtt-ren ordez. ccxt, cryptocommpare cryptocompare ordez, seleioa selenioaren ordez, pinstaller pyinstaller ordez, etab.). Paketeek kriptografia-monetak lapurtzeko kode lausoa zuten, arbelean kriptografia-zorroaren IDak zeudela zehazten zuen eta erasotzailearen zorrora aldatu zituen (suposatzen da ordainketa egitean biktimak ez duela ohartuko zorroaren zenbakia arbelaren bidez transferitzen dela). ezberdina da). Ordezpena nabigatzaile gehigarri baten bidez egin zen, ikusitako web orri bakoitzaren testuinguruan egin zena.
- PyPI biltegian HTTP liburutegi gaizto batzuk identifikatu dira. Jarduera asmo txarreko jarduerak aurkitu dira 41 paketetan, haien izenak typequatting metodoak erabiliz eta liburutegi ezagunen antza zuten (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2, etab.). Betegarriak HTTP liburutegiak funtzionatzen zituen edo lehendik zeuden liburutegietatik kopiatutako kodearen itxura izateko diseinatu zen, eta deskribapenak abantailei eta HTTP liburutegi legitimoekin alderatuz gero. Asmo txarreko jarduerak malwarea sistemara deskargatzera edo datu sentikorrak biltzera eta bidaltzera mugatu ziren.
- NPM-k 16 JavaScript pakete identifikatu zituen (speedte*, trova*, lagra), zeinak, deklaratutako funtzionaltasunaz gain (erritmo-probak), kriptografia-moneta meatzaritzarako kodea ere eduki zuten erabiltzaileak jakin gabe.
- 691 pakete gaizto detektatu ziren NPM-n. Pakete problematiko gehienek Yandex proiektuen imitazioa egiten zuten (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, etab.) eta kanpoko zerbitzarietara informazio konfidentziala bidaltzeko kodea zuten. zerbitzariakUste da paketeak argitaratu zituztenek beren mendekotasunak ordezkatzen saiatzen ari zirela Yandex-en proiektuak eraikitzean (barne mendekotasunak ordezkatzeko metodo bat). PyPI biltegian, ikertzaile berberek 49 pakete aurkitu zituzten (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, etab.), kanpoko zerbitzari batetik fitxategi exekutagarri bat deskargatu eta exekutatzen zuen kode gaiztoa nahasia zutenak. zerbitzaria.
Iturria: opennet.ru
