Zabilježen je napad na korisnike NPM imenika, uslijed čega je 20. veljače u NPM repozitoriju postavljeno više od 15 tisuća paketa čije README datoteke sadrže poveznice na phishing stranice ili referalne poveznice za klikove na koje naknade su plaćeni. Tijekom analize u paketima je identificirano 190 jedinstvenih phishing ili reklamnih poveznica koje pokrivaju 31 domenu.
Nazivi paketa odabrani su tako da privuku interes običnih ljudi, na primjer, "besplatni-tiktok-sljedbenici", "besplatni-xbox-kodovi", "besplatni-sljedbenici na instagramu", itd. Izračun je napravljen kako bi se popis nedavnih ažuriranja na glavnoj stranici NPM-a popunio spam paketima. U opisima paketa nalazili su se linkovi koji su obećavali besplatna darivanja, darove, varanje u igrama, kao i besplatne usluge za povećanje broja pratitelja i lajkova na društvenim mrežama kao što su TikTok i Instagram. Ovo nije prvi takav napad, u prosincu je zabilježena objava 144 tisuće spam paketa u imenicima NuGet, NPM i PyPi.
Sadržaj paketa automatski je generiran pomoću python skripte koja je očito nenamjerno ostavljena u paketima i uključivala je radne vjerodajnice korištene u napadu. Paketi su objavljeni pod mnogo različitih računa korištenjem metoda koje su otežavale raspetljavanje traga i brzo identificiranje problematičnih paketa.
Osim prijevarnih aktivnosti, otkriveno je i nekoliko pokušaja objavljivanja zlonamjernih paketa u repozitoriju NPM i PyPi:
- U repozitoriju PyPI pronađen je 451 maliciozni paket koji su se maskirali u neke popularne biblioteke pomoću typequattinga (dodjeljivanje sličnih imena koja se razlikuju po pojedinim znakovima, na primjer, vper umjesto vyper, bitcoinnlib umjesto bitcoinlib, ccryptofeed umjesto cryptofeed, ccxtt umjesto ccxt, cryptocommpare umjesto cryptocompare, seleium umjesto selenium, pinstaller umjesto pyinstaller itd.). Paketi su uključivali obfuscirani kod za krađu kriptovalute, koji je detektirao prisutnost identifikatora kripto novčanika u međuspremniku i mijenjao ih u napadačev novčanik (pretpostavlja se da prilikom plaćanja žrtva neće primijetiti da je broj novčanika prenesen kroz međuspremnik). drugačije je). Zamjenu je izvršio dodatak preglednika koji se izvršavao u kontekstu svake pregledane web stranice.
- Niz zlonamjernih HTTP biblioteka identificiran je u PyPI repozitoriju. Zlonamjerna aktivnost pronađena je u 41 paketu, čiji su nazivi odabrani metodom typequattinga i nalikuju popularnim bibliotekama (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2 itd.). Nadjev je bio oblikovan tako da sliči radnim HTTP bibliotekama ili je kopirao kod postojećih biblioteka, a opis je uključivao tvrdnje o prednostima i usporedbe s legitimnim HTTP bibliotekama. Zlonamjerna aktivnost sastojala se od preuzimanja zlonamjernog softvera na sustav ili prikupljanja i slanja osjetljivih podataka.
- NPM je identificirao 16 JavaScript paketa (speedte*, trova*, lagra), koji su osim navedene funkcionalnosti (testiranje propusnosti) sadržavali i kod za rudarenje kriptovalute bez znanja korisnika.
- NPM je identificirao 691 zlonamjerni paket. Većina problematičnih paketa pretvarala se da su Yandex projekti (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms itd.) i uključivali su kod za slanje povjerljivih informacija vanjskim poslužiteljima. Pretpostavlja se da su oni koji su objavili pakete pokušavali postići zamjenu vlastite ovisnosti prilikom sklapanja projekata u Yandexu (metoda zamjene internih ovisnosti). U repozitoriju PyPI isti su istraživači pronašli 49 paketa (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, itd.) s maskiranim zlonamjernim kodom koji preuzima i pokreće izvršnu datoteku s vanjskog poslužitelja.
Izvor: opennet.ru