NPM գրացուցակի օգտատերերի վրա հարձակում է գրանցվել, ինչի արդյունքում փետրվարի 20-ին NPM պահոցում տեղադրվել է ավելի քան 15 հազար փաթեթ, որոնց README ֆայլերը պարունակում են ֆիշինգ կայքերի հղումներ կամ հղումներ՝ կտտոցների համար, որոնց վրա հոնորարները: վճարվում են։ Վերլուծության ընթացքում փաթեթներում հայտնաբերվել են 190 եզակի ֆիշինգ կամ գովազդային հղումներ, որոնք ընդգրկում են 31 տիրույթ։
Փաթեթների անվանումներն ընտրվել են սովորական մարդկանց հետաքրքրությունը գրավելու համար, օրինակ՝ «free-tiktok-followers», «free-xbox-codes», «instagram-followers-free» և այլն։ Հաշվարկը կատարվել է NPM-ի գլխավոր էջի վերջին թարմացումների ցանկը սպամ փաթեթներով լրացնելու համար: Փաթեթների նկարագրությունները ներառում էին հղումներ, որոնք խոստանում էին անվճար նվերներ, նվերներ, խաղային խաբեություններ, ինչպես նաև անվճար ծառայություններ՝ հետևորդների և հավանումների ավելացման համար սոցիալական ցանցերում, ինչպիսիք են TikTok-ը և Instagram-ը: Սա առաջին նման հարձակումը չէ, դեկտեմբերին NuGet, NPM և PyPi գրացուցակներում գրանցվել է 144 հազար սպամ փաթեթի հրապարակում։
Փաթեթների բովանդակությունը ավտոմատ կերպով ստեղծվել է python սկրիպտի միջոցով, որն ակնհայտորեն անզգուշաբար մնացել է փաթեթներում և ներառել է հարձակման ժամանակ օգտագործված աշխատանքային հավատարմագրերը: Փաթեթները հրապարակվել են բազմաթիվ տարբեր հաշիվների ներքո՝ օգտագործելով մեթոդներ, որոնք դժվարացնում էին արահետը բացելը և խնդրահարույց փաթեթների արագ հայտնաբերումը:
Բացի խարդախ գործողություններից, NPM և PyPi պահոցներում հայտնաբերվել են նաև վնասակար փաթեթներ հրապարակելու մի քանի փորձ.
- PyPI պահոցում հայտնաբերվել են 451 վնասակար փաթեթներ, որոնք քողարկվել են որպես որոշ հանրաճանաչ գրադարաններ՝ օգտագործելով typequatting (նշանակում են նմանատիպ անուններ, որոնք տարբերվում են առանձին նիշերով, օրինակ՝ vper՝ vyper-ի փոխարեն, bitcoinnlib՝ bitcoinlib-ի փոխարեն, ccryptofeed՝ cryptofeed-ի փոխարեն, ccxtt՝ փոխարենը։ ccxt, cryptocommpare փոխարեն cryptocompare, seleium փոխարեն selenium, pinstaller փոխարեն pyinstaller, եւ այլն): Փաթեթները ներառում էին կրիպտոարժույթի գողության մշուշոտ կոդ, որը հայտնաբերեց կրիպտո դրամապանակի նույնացուցիչների առկայությունը clipboard-ում և փոխեց դրանք հարձակվողի դրամապանակին (ենթադրվում է, որ վճարում կատարելիս տուժողը չի նկատի, որ դրամապանակի համարը փոխանցվել է clipboard-ի միջոցով: տարբեր է): Փոխարինումն իրականացվել է դիտարկիչի հավելումով, որն իրականացվել է յուրաքանչյուր դիտված վեբ էջի համատեքստում:
- PyPI-ի պահոցում հայտնաբերվել են մի շարք վնասակար HTTP գրադարաններ: Վնասակար գործունեություն է հայտնաբերվել 41 փաթեթներում, որոնց անուններն ընտրվել են typequatting մեթոդներով և նման են հանրաճանաչ գրադարաններին (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2 և այլն): Լցոնումը ձևավորվել է այնպես, որ նմանվի աշխատող HTTP գրադարաններին կամ պատճենել է գոյություն ունեցող գրադարանների կոդը, և նկարագրությունը ներառում է օգուտների վերաբերյալ պնդումներ և համեմատություններ օրինական HTTP գրադարանների հետ: Վնասակար գործողությունը բաղկացած էր կամ չարամիտ ծրագրերի համակարգ ներբեռնելուց կամ զգայուն տվյալներ հավաքելուց և ուղարկելուց:
- NPM-ը հայտնաբերել է JavaScript-ի 16 փաթեթ (speedte*, trova*, lagra), որոնք, ի լրումն նշված ֆունկցիոնալության (գործունակության թեստավորում), պարունակում են նաև ծածկագիր՝ առանց օգտագործողի իմացության, կրիպտոարժույթի մայնինգի համար:
- NPM-ը հայտնաբերել է 691 վնասակար փաթեթ. Խնդրահարույց փաթեթների մեծ մասը ձևացնում էր որպես Yandex-ի նախագծեր (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms և այլն) և ներառում էին գաղտնի տեղեկատվություն արտաքին սերվերներ ուղարկելու կոդ: Ենթադրվում է, որ նրանք, ովքեր տեղադրում էին փաթեթները, փորձում էին հասնել իրենց կախվածության փոխարինմանը Yandex-ում նախագծեր հավաքելիս (ներքին կախվածությունների փոխարինման մեթոդ): PyPI-ի պահոցում նույն հետազոտողները հայտնաբերել են 49 փաթեթ (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp և այլն) մշուշված վնասակար կոդով, որը ներբեռնում և գործարկում է գործարկվող ֆայլ արտաքին սերվերից:
Source: opennet.ru