Yo te anrejistre yon atak sou itilizatè yo nan anyè NPM, kòm yon rezilta nan dat 20 fevriye, plis pase 15 mil pakè yo te afiche nan repozitwa NPM, dosye README yo ki te genyen lyen ki mennen nan sit èskrokri oswa lyen referans pou klike sou ki redevans. yo peye. Pandan analiz la, yo te idantifye 190 inik èskrokri oswa lyen piblisite nan pakè yo, ki kouvri 31 domèn.
Non pakè yo te chwazi pou atire enterè moun òdinè, pou egzanp, "gratis-tiktok-followers", "gratis-xbox-codes", "instagram-followers-gratis", elatriye. Yo te fè kalkil la pou ranpli lis dènye dènye nouvèl sou paj prensipal NPM ak pakè spam. Deskripsyon pakè yo enkli lyen ki te pwomèt kado gratis, kado, triche jwèt, ansanm ak sèvis gratis pou ogmante disip ak renmen sou rezo sosyal tankou TikTok ak Instagram. Sa a se pa premye atak sa yo; an Desanm, piblikasyon 144 mil pakè Spam te anrejistre nan NuGet, NPM ak PyPi anyè.
Sa ki nan pakè yo te otomatikman pwodwi lè l sèvi avèk yon script python ki te aparamman inadvèrtans kite nan pakè yo ak enkli kalifikasyon yo travay yo itilize nan atak la. Pakè yo te pibliye anba anpil kont diferan lè l sèvi avèk metòd ki te fè li difisil pou debouche chemen an epi byen vit idantifye pakè ki gen pwoblèm.
Anplis aktivite fwod, plizyè tantativ pou pibliye pakè move yo te detekte tou nan depo NPM ak PyPi:
- 451 pakè move yo te jwenn nan depo PyPI a, ki te degize kòm kèk bibliyotèk popilè lè l sèvi avèk typequatting (bay non menm jan an ki diferan nan karaktè endividyèl, pou egzanp, vper olye pou yo vyper, bitcoinnlib olye pou yo bitcoinlib, ccryptofeed olye pou yo cryptofeed, ccxtt olye pou yo). ccxt, cryptocommpare olye pou yo cryptocompare, seleyòm olye selenyòm, pinstaller olye pou yo pyinstaller, elatriye). Pakè yo enkli kòd obfuscate pou vòlè lajan kript, ki detekte prezans idantifyan bous kript nan clipboard la epi chanje yo nan bous atakè a (se sipoze ke lè w fè yon peman, viktim nan pa pral remake ke nimewo bous la transfere nan clipboard la. diferan). Te sibstitisyon an te pote soti nan yon navigatè ajoute-sou ki te egzekite nan kontèks la nan chak paj wèb wè.
- Yo te idantifye yon seri bibliyotèk move HTTP nan depo PyPI a. Aktivite move yo te jwenn nan 41 pakè, non yo te chwazi lè l sèvi avèk metòd typequatting ak sanble ak bibliyotèk popilè (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2, elatriye). Fars la te gen style pou sanble ak bibliyotèk HTTP k ap travay oswa kopye kòd bibliyotèk ki egziste deja yo, ak deskripsyon an enkli reklamasyon sou benefis yo ak konparezon ak bibliyotèk HTTP lejitim yo. Aktivite move se swa telechaje malveyan sou sistèm nan oswa kolekte epi voye done sansib.
- NPM te idantifye 16 pakè JavaScript (speedte*, trova*, lagra), ki, anplis de fonksyonalite yo deklare (tès debi), tou te genyen kòd pou min cryptocurrency san itilizatè a konnen.
- NPM te idantifye 691 pakè move. Pifò nan pakè pwoblèm yo te pran pòz yo se pwojè Yandex (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, elatriye) ak enkli kòd pou voye enfòmasyon konfidansyèl nan sèvè ekstèn. Li sipoze ke moun ki afiche pakè yo te ap eseye reyalize sibstitisyon pwòp depandans yo lè yo rasanble pwojè nan Yandex (metòd pou ranplase depandans entèn yo). Nan repozitwa PyPI a, menm chèchè yo te jwenn 49 pakè (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, elatriye) ak kòd move obfuscate ki telechaje ak kouri yon dosye ègzèkutabl soti nan yon sèvè ekstèn.
Sous: opennet.ru