È stato registrato un attacco agli utenti della directory NPM, a seguito del quale il 20 febbraio sono stati pubblicati nel repository NPM più di 15mila pacchetti, i cui file README contenevano collegamenti a siti di phishing o collegamenti di riferimento per clic su cui royalties sono pagati. Durante l'analisi sono stati individuati nei pacchetti 190 link unici di phishing o pubblicità, che coprono 31 domini.
I nomi dei pacchetti sono stati scelti per attirare l'interesse della gente comune, ad esempio "free-tiktok-followers", "free-xbox-codes", "instagram-followers-free", ecc. Il calcolo è stato effettuato per riempire l'elenco degli aggiornamenti recenti sulla pagina principale di NPM con pacchetti di spam. Le descrizioni dei pacchetti includevano link che promettevano omaggi gratuiti, regali, trucchi di giochi, nonché servizi gratuiti per aumentare follower e Mi piace sui social network come TikTok e Instagram. Non si tratta del primo attacco del genere: a dicembre è stata registrata la pubblicazione di 144mila pacchetti spam nelle directory NuGet, NPM e PyPi.
Il contenuto dei pacchetti veniva generato automaticamente utilizzando uno script python apparentemente lasciato inavvertitamente nei pacchetti e che includeva le credenziali di lavoro utilizzate nell'attacco. I pacchetti venivano pubblicati sotto molti account diversi utilizzando metodi che rendevano difficile districare la pista e identificare rapidamente i pacchetti problematici.
Oltre alle attività fraudolente, sono stati rilevati anche diversi tentativi di pubblicare pacchetti dannosi nei repository NPM e PyPi:
- Nel repository PyPI sono stati trovati 451 pacchetti dannosi che si mascheravano da librerie popolari utilizzando il typequatting (assegnando nomi simili che differiscono nei singoli caratteri, ad esempio vper invece di vyper, bitcoinnlib invece di bitcoinlib, ccryptofeed invece di cryptofeed, ccxtt invece di ccxt, cryptocommpare invece di cryptocompare, seleium invece di selenium, pinstaller invece di pyinstaller, ecc.). I pacchetti includevano codice offuscato per il furto di criptovaluta, che rilevava la presenza di identificatori di portafoglio crittografico negli appunti e li modificava nel portafoglio dell'aggressore (si presume che quando effettua un pagamento, la vittima non noterà che il numero di portafoglio trasferito attraverso gli appunti è diverso). La sostituzione veniva effettuata da un componente aggiuntivo del browser che veniva eseguito nel contesto di ciascuna pagina web visualizzata.
- Una serie di librerie HTTP dannose sono state identificate nel repository PyPI. È stata rilevata attività dannosa in 41 pacchetti, i cui nomi sono stati selezionati utilizzando metodi di typequatting e somigliavano a librerie popolari (aio5, requestt, ulrlib, urllb, libhttps, piphttps, httpxv2, ecc.). Il riempimento è stato progettato per assomigliare a librerie HTTP funzionanti o copiato il codice di librerie esistenti e la descrizione includeva affermazioni sui vantaggi e confronti con le librerie HTTP legittime. L'attività dannosa consisteva nel scaricare malware nel sistema o nel raccogliere e inviare dati sensibili.
- NPM ha identificato 16 pacchetti JavaScript (speedte*, trova*, lagra) che, oltre alla funzionalità dichiarata (test del throughput), contenevano anche codice per il mining di criptovaluta all'insaputa dell'utente.
- NPM ha identificato 691 pacchetti dannosi. La maggior parte dei pacchetti problematici fingevano di essere progetti Yandex (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, ecc.) e includevano codice per l'invio di informazioni riservate a server esterni. Si presume che coloro che hanno pubblicato i pacchetti stessero cercando di ottenere la sostituzione della propria dipendenza durante l'assemblaggio di progetti in Yandex (metodo di sostituzione delle dipendenze interne). Nel repository PyPI, gli stessi ricercatori hanno trovato 49 pacchetti (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, ecc.) con codice dannoso offuscato che scarica ed esegue un file eseguibile da un server esterno.
Fonte: opennet.ru