NPM-hakemiston käyttäjiä vastaan tallennettiin hyökkäys, jonka seurauksena 20. helmikuuta NPM-tietovarastoon sijoitettiin yli 15 tuhatta pakettia, joiden README-tiedostoissa oli linkkejä tietojenkalastelusivustoille tai viittauslinkkejä, joihin rojaltit maksettiin. Pakettien analyysi paljasti 190 ainutlaatuista tietojenkalastelu- tai mainoslinkkiä, jotka kattavat 31 verkkotunnusta.
Pakettien nimet valittiin herättämään maallikon kiinnostusta, esimerkiksi "free-tiktok-seuraajat", "ilmaiset-xbox-koodit", "instagram-seuraajat-free" jne. Laskelma tehtiin NPM-pääsivun viimeisimpien päivitysten luettelon täyttämiseksi roskapostipaketeilla. Pakettien kuvauksissa oli linkkejä, jotka lupasivat ilmaisia lahjoja, lahjoja, pelihuijauksia ja ilmaisia palveluita seuraajien ja tykkäysten saamiseksi sosiaalisissa verkostoissa, kuten TikTok ja Instagram. Tämä ei ole ensimmäinen tällainen hyökkäys, joulukuussa julkaistiin 144 tuhatta roskapostipakettia NuGet-, NPM- ja PyPi-hakemistoissa.
Pakettien sisältö luotiin automaattisesti python-komentosarjalla, joka ilmeisesti jäi pakkauksiin laiminlyönnistä ja sisälsi hyökkäyksen aikana käytetyt käyttötunnisteet. Paketteja on julkaistu useilla eri tileillä käyttäen menetelmiä, jotka vaikeuttavat polun purkamista ja ongelmallisten pakettien nopeaa tunnistamista.
Vilpillisen toiminnan lisäksi NPM- ja PyPi-tietovarastoissa on havaittu useita yrityksiä julkaista haitallisia paketteja:
- PyPI-arkistosta löydettiin 451 haittapakettia, jotka naamioituivat suosituiksi kirjastoiksi käyttäen typequattingia (antamalla samanlaisia nimiä, jotka eroavat yksittäisistä merkeistä, esim. vper vyperin sijaan, bitcoinnlib bitcoinlibin sijaan, ccryptofeed kryptofeedin sijaan, ccxtt ccxt, kryptovertaa kryptovertaamisen sijaan, seleium seleenin sijaan, pinstaller pyinstallerin sijaan jne.). Paketit sisälsivät salausvaluuttojen varastamiseen tarkoitetun koodin, joka määritti kryptolompakkotunnusten esiintymisen leikepöydällä ja muutti ne hyökkääjän lompakoksi (oletetaan, että maksua tehdessään uhri ei huomaa, että lompakon numero siirtyi leikepöytä on erilainen). Korvaus suoritettiin selaimen lisäosalla, joka suoritettiin jokaisen katsotun verkkosivun yhteydessä.
- PyPI-tietovarastosta on tunnistettu joukko haitallisia HTTP-kirjastoja. Haitallista toimintaa löydettiin 41 paketista, joiden nimet valittiin typequatting-menetelmillä ja jotka muistuttivat suosittuja kirjastoja (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2 jne.). Täyte muotoiltiin näyttämään toimivilta HTTP-kirjastoilta tai kopioitua koodia olemassa olevista kirjastoista, ja kuvauksessa esitettiin väitteitä eduista ja vertailuista laillisten HTTP-kirjastojen kanssa. Haitallinen toiminta rajoittui joko haittaohjelmien lataamiseen järjestelmään tai arkaluonteisten tietojen keräämiseen ja lähettämiseen.
- NPM tunnisti 16 JavaScript-pakettia (speedte*, trova*, lagra), jotka sisälsivät ilmoitetun toiminnallisuuden (läpivirtatestauksen) lisäksi myös koodia kryptovaluutan louhintaan käyttäjän tietämättä.
- NPM tunnisti 691 haitallista pakettia. Suurin osa ongelmallisista paketeista teeskenteli Yandex-projekteiksi (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms jne.) ja sisälsi koodin luottamuksellisten tietojen lähettämiseksi ulkoisille palvelimille. Oletetaan, että paketit sijoittaneet yrittivät saada aikaan oman riippuvuutensa korvaamisen rakentaessaan projekteja Yandexiin (sisäisten riippuvuuksien korvaamismenetelmä). PyPI-arkistosta samat tutkijat löysivät 49 pakettia (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp jne.), joissa oli hämärtynyttä haittakoodia, joka lataa ja käynnistää suoritettavan tiedoston ulkoisesta palvelimesta.
Lähde: opennet.ru