Sebuah serangan tercatat terhadap pengguna direktori NPM, akibatnya pada tanggal 20 Februari, lebih dari 15 ribu paket diposting di repositori NPM, file README yang berisi tautan ke situs phishing atau tautan rujukan untuk klik yang mendapat royalti terbayar. Selama analisis, 190 tautan phishing atau iklan unik diidentifikasi dalam paket, mencakup 31 domain.
Nama-nama paket tersebut dipilih untuk menarik minat masyarakat awam, misalnya βpengikut-tiktok-gratisβ, βkode-xbox-gratisβ, βpengikut-instagram-gratisβ, dll. Perhitungan tersebut dilakukan untuk mengisi daftar update terkini di halaman utama NPM dengan paket spam. Deskripsi paket tersebut mencakup tautan yang menjanjikan hadiah gratis, hadiah, cheat game, serta layanan gratis untuk meningkatkan pengikut dan suka di jejaring sosial seperti TikTok dan Instagram. Ini bukan serangan pertama; pada bulan Desember, tercatat 144 ribu paket spam dipublikasikan di direktori NuGet, NPM, dan PyPi.
Isi paket dibuat secara otomatis menggunakan skrip python yang tampaknya secara tidak sengaja tertinggal di dalam paket dan menyertakan kredensial kerja yang digunakan dalam serangan tersebut. Paket-paket tersebut dipublikasikan dengan banyak akun berbeda menggunakan metode yang mempersulit penguraian jejak dan dengan cepat mengidentifikasi paket-paket yang bermasalah.
Selain aktivitas penipuan, beberapa upaya untuk mempublikasikan paket berbahaya juga terdeteksi di repositori NPM dan PyPi:
- 451 paket berbahaya ditemukan di repositori PyPI, yang menyamar sebagai beberapa perpustakaan populer menggunakan typequatting (menetapkan nama serupa yang berbeda dalam karakter individu, misalnya, vper bukan vyper, bitcoinnlib bukan bitcoinlib, ccryptofeed bukan cryptofeed, ccxtt bukannya ccxt, cryptocommpare bukan cryptocompare, seleium bukan selenium, pinstaller bukan pyinstaller, dll.). Paket tersebut menyertakan kode yang dikaburkan untuk mencuri mata uang kripto, yang mendeteksi keberadaan pengidentifikasi dompet kripto di papan klip dan mengubahnya menjadi dompet penyerang (diasumsikan bahwa saat melakukan pembayaran, korban tidak akan mengetahui bahwa nomor dompet ditransfer melalui papan klip. berbeda). Substitusi dilakukan oleh add-on browser yang dijalankan dalam konteks setiap halaman web yang dilihat.
- Serangkaian perpustakaan HTTP berbahaya telah diidentifikasi di repositori PyPI. Aktivitas berbahaya ditemukan di 41 paket, yang namanya dipilih menggunakan metode typequatting dan menyerupai perpustakaan populer (aio5, requestt, ulrlib, urllb, libhttps, piphttps, httpxv2, dll.). Isiannya ditata menyerupai perpustakaan HTTP yang berfungsi atau menyalin kode perpustakaan yang ada, dan deskripsinya mencakup klaim tentang manfaat dan perbandingan dengan perpustakaan HTTP yang sah. Aktivitas berbahaya terdiri dari pengunduhan malware ke sistem atau pengumpulan dan pengiriman data sensitif.
- NPM mengidentifikasi 16 paket JavaScript (speedte*, trova*, lagra), yang, selain fungsi yang disebutkan (pengujian throughput), juga berisi kode untuk menambang mata uang kripto tanpa sepengetahuan pengguna.
- NPM mengidentifikasi 691 paket berbahaya. Sebagian besar paket bermasalah berpura-pura menjadi proyek Yandex (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, dll.) dan menyertakan kode untuk mengirim informasi rahasia ke server eksternal. Diasumsikan bahwa mereka yang memposting paket-paket tersebut mencoba mencapai substitusi ketergantungan mereka sendiri ketika merakit proyek di Yandex (metode mengganti dependensi internal). Dalam repositori PyPI, peneliti yang sama menemukan 49 paket (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, dll.) dengan kode berbahaya yang dikaburkan yang mengunduh dan menjalankan file yang dapat dieksekusi dari server eksternal.
Sumber: opennet.ru