Rexistrouse un ataque aos usuarios do directorio NPM, como resultado do cal, o 20 de febreiro, máis de 15 mil paquetes foron colocados no repositorio de NPM, nos ficheiros README dos cales había ligazóns a sitios de phishing ou enlaces de referencia para os que pagáronse dereitos de autor. A análise dos paquetes revelou 190 ligazóns de phishing ou promocionais únicas que abarcan 31 dominios.
Os nomes dos paquetes elixíronse para atraer o interese do profano, por exemplo, "free-tiktok-followers", "free-xbox-codes", "instagram-followers-free", etc. O cálculo realizouse para encher a lista de actualizacións recentes na páxina principal de NPM con paquetes de spam. As descricións dos paquetes incluían ligazóns que prometían agasallos gratuítos, agasallos, trucos de xogos e servizos gratuítos para conseguir seguidores e gústame en redes sociais como TikTok e Instagram. Este non é o primeiro ataque deste tipo; en decembro publicáronse 144 mil paquetes de spam nos directorios NuGet, NPM e PyPi.
O contido dos paquetes xerouse automaticamente mediante un script Python, que aparentemente foi deixado nos paquetes por un descuido e incluía as credenciais de traballo utilizadas durante o ataque. Os paquetes foron publicados en moitas contas diferentes utilizando métodos que dificultan descubrir o camiño e identificar rapidamente os paquetes problemáticos.
Ademais das actividades fraudulentas, tamén se identificaron varios intentos de publicar paquetes maliciosos nos repositorios NPM e PyPi:
- Atopáronse 451 paquetes maliciosos no repositorio de PyPI, que foron disfrazados como algunhas bibliotecas populares usando typesquatting (asignando nomes similares que difieren en caracteres individuais, por exemplo, vper en lugar de vyper, bitcoinnlib en lugar de bitcoinlib, ccryptofeed en lugar de cryptofeed, ccxtt en lugar de ccxt, cryptocommpare en lugar de cryptocompare, seleium en lugar de selenium, pinstaller en lugar de pyinstaller, etc.). Os paquetes incluían código ofuscado para roubar criptomoedas, que determinaba a presenza de ID de carteira criptográfica no portapapeis e cambiounas pola carteira do atacante (suponse que ao realizar un pago, a vítima non notará que o número de carteira transferido a través do portapapeis é diferente). A substitución realizouse mediante un complemento de navegador que se realizou no contexto de cada páxina web visitada.
- Identificáronse unha serie de bibliotecas HTTP maliciosas no repositorio de PyPI. Atopouse actividade maliciosa en 41 paquetes cuxos nomes foron seleccionados mediante métodos de acoso de tipos e semellaban bibliotecas populares (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2, etc.). O recheo foi deseñado para parecer bibliotecas HTTP funcionando ou código copiado das bibliotecas existentes, e a descrición facía afirmacións sobre beneficios e comparacións con bibliotecas HTTP lexítimas. A actividade maliciosa limitouse a descargar software malicioso no sistema ou a recompilar e enviar datos confidenciais.
- NPM identificou 16 paquetes JavaScript (speedte*, trova*, lagra), que, ademais da funcionalidade declarada (proba de rendemento), tamén contiñan código para a minería de criptomoedas sen o coñecemento do usuario.
- NPM identificou 691 paquetes maliciosos. A maioría dos paquetes problemáticos pretendían ser proxectos Yandex (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, etc.) e incluían código para enviar información confidencial a servidores externos. Suponse que os que colocaron os paquetes intentaron substituír a súa propia dependencia ao construír proxectos en Yandex (o método de substitución de dependencias internas). No repositorio de PyPI, os mesmos investigadores atoparon 49 paquetes (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, etc.) con código malicioso ofuscado que descarga e inicia un ficheiro executable desde un servidor externo.
Fonte: opennet.ru