In oanfal op brûkers fan 'e NPM-map waard opnommen, wêrtroch't op 20 febrewaris mear as 15 tûzen pakketten yn' e NPM-repository pleatst waarden, yn 'e README-bestannen wêrfan d'r keppelings wiene nei phishing-siden of ferwizingslinks foar hokker royaltys waarden betelle. De analyse fan 'e pakketten die bliken 190 unike phishing- of promoasjekeppelings dy't 31-domeinen dekke.
Pakketnammen waarden keazen om de belangstelling fan 'e leek te lûken, bygelyks "fergees-tiktok-folgers", "fergees-xbox-koades", "instagram-folgers-frij", ensfh. De berekkening is makke om de list fan resinte updates op 'e haad NPM-side te befolkjen mei spampakketten. De beskriuwingen fan 'e pakketten omfette keppelings dy't fergese kado's, kado's, cheats foar spultsjes, en fergese tsjinsten tasizze om folgers en likes te krijen op sosjale netwurken lykas TikTok en Instagram. Dit is net de earste sa'n oanfal; yn desimber waarden 144 tûzen spampakketten publisearre yn 'e NuGet, NPM en PyPi mappen.
De ynhâld fan 'e pakketten waard automatysk oanmakke mei in python-skript, dat blykber yn' e pakketten bleaun waard troch in tafersjoch en omfette de wurkgegevens dy't brûkt waarden tidens de oanfal. Pakketten binne publisearre ûnder in protte ferskillende akkounts mei metoaden dy't it dreech meitsje om it spoar te ûntdekken en problematyske pakketten fluch te identifisearjen.
Neist frauduleuze aktiviteiten binne ferskate besykjen om kweade pakketten te publisearjen ek identifisearre yn 'e NPM- en PyPi-repositories:
- 451 kweade pakketten waarden fûn yn it PyPI repository, dy't waarden ferklaaid as guon populêre biblioteken mei help fan typesquatting (tawizen fan ferlykbere nammen dy't ferskille yn yndividuele karakters, bygelyks, vper ynstee fan vyper, bitcoinnlib ynstee fan bitcoinlib, ccryptofeed ynstee fan cryptofeed, ccxtt ynstee fan ccxt, cryptocommpare ynstee fan cryptocompare, seleum ynstee selenium, pinstaller ynstee fan pyinstaller, ensfh.). De pakketten omfette obfuscated koade foar it stellen fan Krypto-muntienheden, dy't de oanwêzigens fan krypto-slûf-ID's yn it klamboerd bepale en se feroare yn 'e wallet fan' e oanfaller (it wurdt oannommen dat by it meitsjen fan in betelling it slachtoffer net sil merken dat it walletnûmer oerbrocht fia de klamboerd is oars). De ferfanging waard útfierd troch in browser-tafoeging dy't waard útfierd yn 'e kontekst fan elke besjoen webside.
- In searje kweade HTTP-biblioteken binne identifisearre yn it PyPI-repository. Malicious aktiviteit waard fûn yn 41 pakketten wêrfan de nammen waarden selekteare mei typen quatting metoaden en like op populêre bibleteken (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2, ensfh.). De vulling waard styled om te sjen as wurkjende HTTP-biblioteken of kopieare koade fan besteande biblioteken, en de beskriuwing makke oanspraken oer foardielen en fergelikingen mei legitime HTTP-biblioteken. Kweaze aktiviteit wie beheind ta it downloaden fan malware op it systeem of it sammeljen en ferstjoeren fan gefoelige gegevens.
- NPM identifisearre 16 JavaSkript pakketten (speedte *, trova *, lagra), dy't, neist de ferklearre funksjonaliteit (throughput testen), ek befette koade foar cryptocurrency mynbou sûnder de brûker syn kennis.
- NPM identifisearre 691 kweade pakketten. De measte fan 'e problematyske pakketten diene as Yandex-projekten (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, ensfh.) En befette koade foar it ferstjoeren fan fertroulike ynformaasje nei eksterne servers. Der wurdt fan útgien dat dejingen dy't de pakketten pleatsten, besochten substitúsje fan har eigen ôfhinklikens te berikken by it bouwen fan projekten yn Yandex (de metoade foar it ferfangen fan ynterne ôfhinklikens). Yn it PyPI-repository fûnen deselde ûndersikers 49-pakketten (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, ensfh.)
Boarne: opennet.ru