Az NPM címtár felhasználói ellen támadást rögzítettek, melynek eredményeként február 20-án több mint 15 ezer olyan csomag került fel az NPM tárhelyére, amelyek README fájljai adathalász oldalakra mutató hivatkozásokat vagy hivatkozási linkeket tartalmaztak olyan kattintásokra, amelyekre jogdíj jár. fizetve vannak. Az elemzés során 190 egyedi adathalász vagy hirdetési linket azonosítottak a csomagokban, 31 domainre kiterjedően.
A csomagok nevét úgy választották ki, hogy felkeltsék a hétköznapi emberek érdeklődését, például „ingyenes-tiktok-követők”, „ingyenes-xbox-kódok”, „instagram-követők nélkül” stb. A számítás azért történt, hogy az NPM főoldalán a legutóbbi frissítések listája spamcsomagokkal legyen feltöltve. A csomagok leírása tartalmazott linkeket, amelyek ingyenes ajándékokat, ajándékokat, játékcsalást ígértek, valamint ingyenes szolgáltatásokat a követők és kedvelések növelésére a közösségi oldalakon, például a TikTokon és az Instagramon. Nem ez az első ilyen támadás, decemberben 144 ezer spam csomag publikálását rögzítették a NuGet, az NPM és a PyPi könyvtárakban.
A csomagok tartalma automatikusan létrejött egy python-szkript segítségével, amely nyilvánvalóan véletlenül maradt a csomagokban, és tartalmazta a támadás során használt hitelesítő adatokat. A csomagokat számos különböző fiók alatt tették közzé olyan módszerekkel, amelyek megnehezítették a nyomvonal kibogozását és a problémás csomagok gyors azonosítását.
A csalárd tevékenységek mellett több rosszindulatú csomagok közzétételére irányuló kísérletet is észleltek az NPM és a PyPi tárolókban:
- 451 rosszindulatú csomagot találtak a PyPI adattárban, amelyek néhány népszerű könyvtárnak álcázták magukat typequatting használatával (hasonló, egyedi karakterekben eltérő nevek hozzárendelése, pl. vyper helyett vper, bitcoinlib helyett bitcoinnlib, cryptofeed helyett ccryptofeed, ccxtt helyett ccxt, cryptocommpare helyett cryptocompare, szelén helyett szelén, pinstaller helyett pyinstaller stb.). A csomagok rejtett kódot tartalmaztak a kriptovaluta ellopásához, amely észlelte a kriptopénz azonosítók jelenlétét a vágólapon, és azokat a támadó pénztárcájára változtatta (feltételezzük, hogy fizetéskor az áldozat nem veszi észre, hogy a pénztárca száma átkerült a vágólapra más). A helyettesítést egy böngészőbővítmény hajtotta végre, amely az egyes megtekintett weboldalak kontextusában futott le.
- Egy sor rosszindulatú HTTP-könyvtárat azonosítottak a PyPI-lerakatban. Rosszindulatú tevékenységet 41 csomagban találtak, amelyek nevét typequatting módszerekkel választották ki, és népszerű könyvtárakra emlékeztettek (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2 stb.). A tölteléket úgy alakították ki, hogy a működő HTTP-könyvtárakhoz hasonlítson, vagy a meglévő könyvtárak kódját másolta, és a leírás tartalmazott állításokat a legitim HTTP-könyvtárak előnyeiről és összehasonlításáról. A rosszindulatú tevékenység a rosszindulatú programok rendszerre történő letöltéséből vagy érzékeny adatok összegyűjtéséből és elküldéséből állt.
- Az NPM 16 JavaScript-csomagot (speedte*, trova*, lagra) azonosított, amelyek a megadott funkcionalitáson (áteresztőképesség tesztelésen) kívül a felhasználó tudta nélkül kriptovaluta bányászatához is tartalmaztak kódot.
- Az NPM 691 rosszindulatú csomagot azonosított. A legtöbb problémás csomag Yandex-projektnek adta ki magát (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms stb.), és kódot tartalmazott a bizalmas információk külső szerverekre való küldésére. Feltételezhető, hogy a csomagokat feladók megpróbálták elérni a saját függőségük helyettesítését a projektek összeállítása során a Yandexben (a belső függőségek helyettesítésének módja). A PyPI adattárban ugyanezek a kutatók 49 olyan csomagot (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp stb.) találtak, amelyek elhomályosított rosszindulatú kódot tartalmaznak, amely letölt és futtat egy külső szerverről futtatható fájlt.
Forrás: opennet.ru