Árás var skráð á notendur NPM skrárinnar, sem leiddi til þess að 20. febrúar voru meira en 15 þúsund pakkar settir inn í NPM geymsluna, en README skrárnar innihéldu tengla á vefveiðasíður eða tilvísunartengla fyrir smelli þar sem þóknanir eru greiddar. Við greininguna fundust 190 einstakir vefveiðar eða auglýsingatenglar í pökkunum sem ná yfir 31 lén.
Nöfn pakkana voru valin til að vekja áhuga venjulegs fólks, til dæmis „ókeypis-tiktok-fylgjendur“, „ókeypis-xbox-kóðar“, „frítt fylgjendur á instagram“ o.s.frv. Útreikningurinn var gerður til að fylla listann yfir nýlegar uppfærslur á NPM aðalsíðunni með ruslpóstspökkum. Lýsingarnar á pökkunum innihéldu tengla sem lofuðu ókeypis uppljóstrunum, gjöfum, leikjasvindli, svo og ókeypis þjónustu til að auka fylgjendur og líkar við á samfélagsnetum eins og TikTok og Instagram. Þetta er ekki fyrsta slíka árásin; í desember var birting á 144 þúsund ruslpóstspökkum skráð í NuGet, NPM og PyPi möppurnar.
Innihald pakkana var sjálfkrafa búið til með því að nota python skriftu sem greinilega var óvart skilið eftir í pökkunum og innihélt vinnuskilríkin sem notuð voru í árásinni. Pakkarnir voru birtir undir mörgum mismunandi reikningum með því að nota aðferðir sem gerðu það erfitt að leysa slóðina og greina fljótt vandamála pakka.
Til viðbótar við sviksamlega starfsemi fundust einnig nokkrar tilraunir til að birta skaðlega pakka í NPM og PyPi geymslunum:
- 451 skaðlegir pakkar fundust í PyPI geymslunni, sem dulbúnir voru sem nokkur vinsæl bókasöfn með typequatting (sem gefa svipuðum nöfnum sem eru mismunandi í einstökum stöfum, til dæmis vper í stað vyper, bitcoinnlib í stað bitcoinlib, ccryptofeed í stað cryptofeed, ccxtt í stað þess að ccxt, cryptocommpare í stað cryptocompare, seleium í staðinn selen, pinstaller í stað pyinstaller, osfrv.). Pakkarnir innihéldu óskýran kóða til að stela dulritunargjaldmiðli, sem greindi tilvist auðkennis dulritunarveskis á klemmuspjaldinu og breytti þeim í veski árásarmannsins (gert er ráð fyrir að þegar greitt er muni fórnarlambið ekki taka eftir því að veskisnúmerið hafi verið flutt í gegnum klemmuspjaldið er öðruvísi). Skiptingin var framkvæmd með vafraviðbót sem var keyrð í samhengi við hverja vefsíðu sem var skoðuð.
- Röð illgjarn HTTP bókasöfn hafa verið auðkennd í PyPI geymslunni. Skaðleg virkni fannst í 41 pakka, nöfn þeirra voru valin með typequatting aðferðum og líktust vinsælum bókasöfnum (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2, osfrv.). Fyllingin var útfærð til að líkjast vinnandi HTTP bókasöfnum eða afritaði kóðann fyrir núverandi bókasöfn og lýsingin innihélt fullyrðingar um kosti og samanburð við lögmæt HTTP bókasöfn. Skaðleg virkni fólst í því að annað hvort hlaða niður spilliforritum á kerfið eða safna og senda viðkvæm gögn.
- NPM benti á 16 JavaScript-pakka (speedte*, trova*, lagra), sem, auk tilgreindrar virkni (afkastapróf), innihéldu einnig kóða fyrir námuvinnslu dulritunargjaldmiðils án vitundar notandans.
- NPM benti á 691 skaðlegan pakka. Flestir erfiðu pakkarnir þykjast vera Yandex verkefni (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms osfrv.) og innihélt kóða til að senda trúnaðarupplýsingar til ytri netþjóna. Gert er ráð fyrir að þeir sem sendu pakkana hafi verið að reyna að skipta út eigin ósjálfstæði þegar þeir setja saman verkefni í Yandex (aðferð til að skipta út innri ósjálfstæði). Í PyPI geymslunni fundu sömu rannsakendur 49 pakka (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, o.s.frv.) með óljósum skaðlegum kóða sem hleður niður og keyrir keyrsluskrá frá ytri netþjóni.
Heimild: opennet.ru