Taifeadadh ionsaí ar úsáideoirí eolaire NPM, agus mar thoradh air sin, an 20 Feabhra, cuireadh níos mó ná 15 míle pacáiste i stór NPM, i gcomhaid README a raibh naisc chuig láithreáin fioscaireachta nó naisc atreoraithe ina leith. íocadh ríchíosanna. Nocht an anailís ar na pacáistí 190 nasc fioscaireachta nó cur chun cinn uathúla a chlúdaigh 31 fearann.
Roghnaíodh ainmneacha pacáiste chun suim an fhir layman a mhealladh, mar shampla, "free-tiktok-leanúna" "saor-xbox-cóid", "instagram-leanúna", etc. Rinneadh an ríomh chun an liosta nuashonruithe le déanaí ar an bpríomhleathanach NPM a líonadh le pacáistí turscair. I measc na gcur síos ar na pacáistí bhí naisc ag gealladh bronntanais saor in aisce, bronntanais, cheats cluiche, agus seirbhísí saor in aisce chun leanúna agus daoine is maith leo a fháil ar líonraí sóisialta mar TikTok agus Instagram. Ní hé seo an chéad ionsaí dá leithéid; i mí na Nollag, foilsíodh 144 míle pacáiste turscair in eolairí NuGet, NPM agus PyPi.
Gineadh ábhar na bpacáistí go huathoibríoch trí úsáid a bhaint as script python, rud a d'fhág maoirsiú sna pacáistí de réir dealraimh agus a chuimsigh na dintiúir oibre a úsáideadh le linn an ionsaí. Foilsíodh pacáistí faoi go leor cuntais éagsúla ag baint úsáide as modhanna a fhágann gur deacair an rian a réiteach agus pacáistí fadhbacha a aithint go tapa.
Chomh maith le gníomhaíochtaí calaoiseacha, sainaithníodh roinnt iarrachtaí chun pacáistí mailíseacha a fhoilsiú i stórtha an NPM agus PyPi:
- Fuarthas 451 pacáiste mailíseach i stór PyPI, a bhí faoi cheilt mar roinnt leabharlann tóir ag baint úsáide as typesquatting (ag sannadh ainmneacha comhchosúla atá difriúil i gcarachtar aonair, mar shampla, vper in ionad vyper, bitcoinnlib in ionad bitcoinlib, ccryptofeed in ionad cryptofeed, ccxtt in ionad ccxt, cryptocompare in ionad cryptocompare, seiléiniam in ionad seiléiniam, pinstaller in ionad pyinstaller, etc.). Áiríodh leis na pacáistí cód obfuscated chun cryptocurrencies a ghoid, a chinn láithreacht IDanna cripte-sparán sa ghearrthaisce agus a d'athraigh iad chuig sparán an ionsaitheora (glactar leis, agus íocaíocht á dhéanamh aige, nach dtabharfaidh an t-íospartach faoi deara gur aistríodh an uimhir sparán tríd an tá gearrthaisce difriúil). Rinneadh an t-ionadú le breiseán brabhsálaí a rinneadh i gcomhthéacs gach leathanach gréasáin a breathnaíodh.
- Aithníodh sraith leabharlann mailíseach HTTP i stór PyPI. Fuarthas gníomhaíocht mhailíseach i 41 pacáiste ar roghnaíodh a n-ainmneacha trí úsáid a bhaint as modhanna typequatting agus a bhí cosúil le leabharlanna móréilimh (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2, etc.). Bhí an líonadh styled chun breathnú cosúil le leabharlanna HTTP oibre nó cód a chóipeáil ó leabharlanna atá ann cheana féin, agus rinne an cur síos éilimh faoi shochair agus comparáidí le leabharlanna HTTP dlisteanacha. Bhí gníomhaíocht mhailíseach teoranta do mhailís a íoslódáil ar an gcóras nó sonraí íogaire a bhailiú agus a sheoladh.
- D’aithin NPM 16 phacáiste JavaScript (speedte*, trova*, lagra), a raibh cód le haghaidh mianadóireacht cryptocurrency iontu, chomh maith leis an bhfeidhmiúlacht dhearbhaithe (tástáil tréchur), i ngan fhios don úsáideoir.
- D’aithin NPM 691 pacáiste mailíseach. Bhí formhór na bpacáistí fadhbacha ag ligean orthu gur tionscadail Yandex iad (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, etc.) agus chuimsigh siad cód chun faisnéis rúnda a sheoladh chuig freastalaithe seachtracha. Glactar leis go ndearna na daoine a chuir na pacáistí iarracht ionadú a spleáchais féin a bhaint amach agus iad ag tógáil tionscadail i Yandex (an modh chun spleáchais inmheánacha a chur in ionad). I stór PyPI, fuair na taighdeoirí céanna 49 pacáiste (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, etc.) le cód mailíseach obfuscated a íoslódálann agus a sheolann comhad inrite ó fhreastalaí seachtrach.
Foinse: oscailtenet.ru