NPM direktorioko erabiltzaileen aurkako erasoa erregistratu zen, eta horren ondorioz, otsailaren 20an, 15 mila pakete baino gehiago jarri ziren NPM biltegian, README fitxategietan phishing guneetarako estekak edo erreferentziazko estekak zeuden. erregaliak ordaindu ziren. Paketeen azterketak 190 domeinu biltzen dituzten phishing- edo sustapen-esteka esklusiboak agerian utzi zituen.
Paketeen izenak laikoen interesa erakartzeko aukeratu ziren, adibidez, "free-tiktok-followers" "free-xbox-codes", "instagram-followers-free", etab. Kalkulua NPM orri nagusian azken eguneratzeen zerrenda spam paketeekin betetzeko egin zen. Paketeen deskribapenetan, doako opariak, opariak, jokoen iruzurrak eta doako zerbitzuak, TikTok eta Instagram bezalako sare sozialetan jarraitzaileak eta gustukoak lortzeko estekak zeuden. Hau ez da horrelako lehen erasoa; abenduan, 144 mila spam pakete argitaratu ziren NuGet, NPM eta PyPi direktorioetan.
Paketeen edukia automatikoki sortu zen python script bat erabiliz, itxuraz gainbegiratu batek paketeetan utzi zuena eta erasoan erabilitako laneko kredentzialak barne. Paketeak hainbat kontutan argitaratu dira, bidea argitzea eta pakete problematikoak azkar identifikatzea zailtzen duten metodoak erabiliz.
Iruzurrezko jarduerez gain, pakete gaiztoak argitaratzeko hainbat saiakera ere identifikatu dira NPM eta PyPi biltegietan:
- PyPI biltegian 451 pakete gaizto aurkitu ziren, liburutegi ezagun batzuez mozorrotuta zeuden typequatting erabiliz (karaktereetan desberdinak diren antzeko izenak esleituz, adibidez, vper vyper-en ordez, bitcoinnlib-ren ordez bitcoinlib-ren ordez, ccryptofeed-ren ordez cryptofeed-en ordez, ccxtt-ren ordez. ccxt, cryptocommpare cryptocompare ordez, seleioa selenioaren ordez, pinstaller pyinstaller ordez, etab.). Paketeek kriptografia-monetak lapurtzeko kode lausoa zuten, arbelean kriptografia-zorroaren IDak zeudela zehazten zuen eta erasotzailearen zorrora aldatu zituen (suposatzen da ordainketa egitean biktimak ez duela ohartuko zorroaren zenbakia arbelaren bidez transferitzen dela). ezberdina da). Ordezpena nabigatzaile gehigarri baten bidez egin zen, ikusitako web orri bakoitzaren testuinguruan egin zena.
- PyPI biltegian HTTP liburutegi gaizto batzuk identifikatu dira. Jarduera asmo txarreko jarduerak aurkitu dira 41 paketetan, haien izenak typequatting metodoak erabiliz eta liburutegi ezagunen antza zuten (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2, etab.). Betegarriak HTTP liburutegiak funtzionatzen zituen edo lehendik zeuden liburutegietatik kopiatutako kodearen itxura izateko diseinatu zen, eta deskribapenak abantailei eta HTTP liburutegi legitimoekin alderatuz gero. Asmo txarreko jarduerak malwarea sistemara deskargatzera edo datu sentikorrak biltzera eta bidaltzera mugatu ziren.
- NPM-k 16 JavaScript pakete identifikatu zituen (speedte*, trova*, lagra), zeinak, deklaratutako funtzionaltasunaz gain (erritmo-probak), kriptografia-moneta meatzaritzarako kodea ere eduki zuten erabiltzaileak jakin gabe.
- NPM-k 691 pakete gaizto identifikatu zituen. Arazo-pakete gehienek Yandex proiektuak zirela (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, etab.) eta informazio konfidentziala kanpoko zerbitzarietara bidaltzeko kodea barne hartzen zuten. Suposatzen da paketeak jarri zituztenek Yandex-en (barneko mendekotasunak ordezkatzeko metodoa) proiektuak eraikitzean beren mendekotasuna ordezkatzen saiatu zirela. PyPI biltegian, ikertzaile berdinek 49 pakete aurkitu dituzte (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, etab.) kanpoko zerbitzari batetik fitxategi exekutagarri bat deskargatzen eta abiarazten duten kode gaizto lausotua dutenak.
Iturria: opennet.ru