Արձանագրվել է հարձակում NPM գրացուցակի օգտատերերի վրա, որի արդյունքում փետրվարի 20-ին NPM պահոցում տեղադրվել են ավելի քան 15 հազար փաթեթներ, որոնց README ֆայլերը պարունակում են ֆիշինգ կայքերի հղումներ կամ ուղղորդման հղումներ՝ կտտոցների համար, որոնց վրա վճարվում են հոնորարներ։ Վերլուծության ընթացքում փաթեթներում հայտնաբերվել են 190 եզակի ֆիշինգ կամ գովազդային հղումներ, որոնք ընդգրկում են 31 տիրույթ։
Փաթեթների անունները ընտրվել են լայն հանրության ուշադրությունը գրավելու համար, օրինակ՝ «free-tiktok-followers», «free-xbox-codes», «instagram-followers-free» և այլն: Նպատակն էր NPM-ի գլխավոր էջի վերջին թարմացումների ցանկը լրացնել սպամ փաթեթներով: Փաթեթների նկարագրությունները ներառում էին հղումներ, որոնք խոստանում էին անվճար նվերներ, խաղային խաբեություններ և անվճար ծառայություններ՝ TikTok-ի և Instagram-ի նման սոցիալական ցանցերում հետևորդների և լայքերի ավելացման համար: Սա առաջին նման հարձակումը չէ. դեկտեմբերին NuGet-ում, NPM-ում և PyPi-ում հրապարակվել է 144 սպամ փաթեթ:
Փաթեթի պարունակությունը ստեղծվել է ավտոմատ կերպով՝ օգտագործելով Python սկրիպտ, որը, ըստ երևույթին, պատահաբար թողնվել է փաթեթներում, և ներառում է հարձակման ընթացքում օգտագործված մուտքային տվյալները։ Փաթեթները հրապարակվել են մի քանի տարբեր հաշիվների ներքո՝ օգտագործելով մեթոդներ, որոնք դժվարացնում են խնդրահարույց փաթեթների հետագծումը և արագ նույնականացումը։
Բացի խարդախ գործողություններից, NPM և PyPi պահոցներում հայտնաբերվել են նաև վնասակար փաթեթներ հրապարակելու մի քանի փորձ.
- PyPI պահոցում հայտնաբերվել է 451 վնասակար փաթեթ, որոնք քողարկվել են որպես հայտնի գրադարաններ՝ օգտագործելով typosquatting (նման անուններ տարբեր նիշերով, ինչպիսիք են՝ vper-ը vyper-ի փոխարեն, bitcoinnlib-ը bitcoinlib-ի փոխարեն, ccryptofeed-ը cryptofeed-ի փոխարեն, ccxtt-ը ccxt-ի փոխարեն, cryptocommpare-ը cryptocompare-ի փոխարեն, seleium-ը selenium-ի փոխարեն, pinstaller-ը pyinstaller-ի փոխարեն և այլն): Փաթեթները ներառում էին կրիպտոարժույթ գողանալու խեղաթյուրված կոդ, որը հայտնաբերում էր կրիպտո դրամապանակների ID-ները սեղմատախտակում և փոխարինում դրանք հարձակվողի դրամապանակով (գաղափարն այն է, որ զոհը վճարում կատարելիս չի նկատի սեղմատախտակից պատճենված տարբեր դրամապանակի համարը): Փոխարինումը կատարվել է դիտարկիչի հավելումով, որը գործարկվել է դիտված յուրաքանչյուր վեբ էջի համատեքստում:
- PyPI-ի պահոցում հայտնաբերվել են մի շարք վնասակար HTTP գրադարաններ: Վնասակար գործունեություն է հայտնաբերվել 41 փաթեթներում, որոնց անուններն ընտրվել են typosquatting մեթոդներով և նմանվել են հանրաճանաչ գրադարաններին (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2 և այլն): Օգտակար բեռնվածքը ձևավորվել է այնպես, որ նման լինի գործող HTTP գրադարանների կամ պատճենված է գոյություն ունեցող գրադարանների կոդը, և նկարագրությունը ներառում է օգուտների վերաբերյալ պնդումներ և համեմատություններ օրինական HTTP գրադարանների հետ: Վնասակար գործողությունը բաղկացած էր կա՛մ համակարգում չարամիտ ծրագրեր ներբեռնելուց, կա՛մ գաղտնի տվյալներ հավաքելուց և ուղարկելուց:
- NPM-ը հայտնաբերել է JavaScript-ի 16 փաթեթ (speedte*, trova*, lagra), որոնք, ի լրումն իրենց հայտարարված ֆունկցիոնալության (թողունակության փորձարկում), պարունակում են նաև կոդ՝ առանց օգտագործողի իմացության կրիպտոարժույթի մայնինգի համար:
- NPM-ում հայտնաբերվել է 691 վնասակար փաթեթ։ Խնդրահարույց փաթեթների մեծ մասը կրկնօրինակել է Yandex նախագծերը (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms և այլն) և ներառել է արտաքին սերվերներին գաղտնի տեղեկատվություն ուղարկելու կոդ։ սերվերներԵնթադրվում է, որ փաթեթները տեղադրողները փորձում էին փոխարինել իրենց սեփական կախվածությունները՝ Yandex-ում նախագծեր կառուցելիս (ներքին կախվածությունները փոխարինելու մեթոդ): PyPI պահոցում նույն հետազոտողները հայտնաբերել են 49 փաթեթ (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp և այլն), որոնք պարունակում էին խեղաթյուրված վնասակար կոդ, որը ներբեռնում և գործարկում է կատարվող ֆայլ արտաքին սերվերից: սերվեր.
Source: opennet.ru
