È stato rilevato un attacco agli utenti della directory NPM. Il 20 febbraio, oltre 15 pacchetti sono stati aggiunti al repository NPM. I file README contenevano link a siti di phishing o link di riferimento che generano royalty. L'analisi dei pacchetti ha rivelato 190 link univoci di phishing o pubblicità, distribuiti su 31 domini.
I nomi dei pacchetti sono stati scelti per attirare l'attenzione del grande pubblico, ad esempio "free-tiktok-followers", "free-xbox-codes", "instagram-followers-free" e così via. L'intenzione era quella di popolare l'elenco degli aggiornamenti recenti sulla homepage di NPM con pacchetti spam. Le descrizioni dei pacchetti includevano link che promettevano omaggi, regali, trucchi per giochi e servizi gratuiti per aumentare follower e "Mi piace" su piattaforme di social media come TikTok e Instagram. Questo non è il primo attacco di questo tipo: a dicembre, 144 pacchetti spam sono stati pubblicati su NuGet, NPM e PyPi.
Il contenuto del pacchetto è stato generato automaticamente utilizzando uno script Python, apparentemente lasciato inavvertitamente nei pacchetti, e includeva le credenziali utilizzate durante l'attacco. I pacchetti sono stati pubblicati con più account diversi, utilizzando tecniche che rendono difficile tracciare e identificare rapidamente i pacchetti problematici.
Oltre alle attività fraudolente, sono stati rilevati anche diversi tentativi di pubblicazione di pacchetti dannosi nei repository NPM e PyPi:
- Nel repository PyPI sono stati trovati 451 pacchetti dannosi che si camuffavano da librerie popolari utilizzando il typosquatting (assegnando nomi simili con caratteri diversi, come vper invece di vyper, bitcoinnlib invece di bitcoinlib, ccryptofeed invece di cryptofeed, ccxtt invece di ccxt, cryptocommpare invece di cryptocompare, seleium invece di selenium, pinstaller invece di pyinstaller, ecc.). I pacchetti includevano codice offuscato per il furto di criptovalute che rilevava gli ID dei wallet di criptovalute negli appunti e li sostituiva con il wallet dell'aggressore (l'idea è che la vittima non notasse il diverso numero di wallet copiato dagli appunti quando effettuava un pagamento). La sostituzione veniva eseguita da un componente aggiuntivo del browser che veniva eseguito nel contesto di ogni pagina web visualizzata.
- Una serie di librerie HTTP dannose è stata scoperta nel repository PyPI. L'attività dannosa è stata rilevata in 41 pacchetti, i cui nomi erano stati scelti utilizzando tecniche di typosquatting e assomigliavano a librerie popolari (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2, ecc.). I payload erano stati creati per assomigliare a librerie HTTP funzionanti o copiavano il codice di librerie esistenti, e le descrizioni contenevano affermazioni sui loro vantaggi e confronti con librerie HTTP legittime. L'attività dannosa consisteva nel scaricare malware sul sistema o nel raccogliere e inviare dati riservati.
- È stato scoperto che NPM conteneva 16 pacchetti JavaScript (speedte*, trova*, lagra) che, oltre alla funzionalità dichiarata (test della larghezza di banda), contenevano anche codice per il mining di criptovalute all'insaputa dell'utente.
- Sono stati rilevati 691 pacchetti dannosi in NPM. La maggior parte dei pacchetti problematici impersonava progetti Yandex (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, ecc.) e includeva codice per l'invio di informazioni riservate a server esterni. serverSi ritiene che coloro che hanno pubblicato i pacchetti stessero tentando di sostituire le proprie dipendenze durante la creazione di progetti in Yandex (un metodo per sostituire le dipendenze interne). Nel repository PyPI, gli stessi ricercatori hanno trovato 49 pacchetti (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, ecc.) contenenti codice dannoso offuscato che scarica ed esegue un file eseguibile da un server esterno. server.
Fonte: opennet.ru
