NPM ディレクトリのユーザーに対する攻撃が記録され、その結果、20 月 15 日、190 を超えるパッケージが NPM リポジトリに投稿されました。その README ファイルには、フィッシング サイトへのリンクや、クリックすると使用料が発生する紹介リンクが含まれていました。支払われました。 分析中に、31 のドメインをカバーする XNUMX 個の固有のフィッシングまたは広告リンクがパッケージ内で特定されました。
パッケージの名前は、「無料-tiktok-フォロワー」、「無料-xbox-コード」、「インスタグラム-フォロワー-フリー」など、一般の人々の興味を引くように選択されています。 この計算は、NPM メイン ページの最近の更新リストをスパム パッケージで埋めるために行われました。 パッケージの説明には、無料の特典、ギフト、ゲーム攻略のほか、TikTokやInstagramなどのソーシャルネットワークでフォロワーや「いいね!」を増やすための無料サービスを約束するリンクが含まれていた。 このような攻撃はこれが初めてではなく、144 月には XNUMX 個のスパム パッケージが NuGet、NPM、および PyPi ディレクトリに公開されたことが記録されています。
パッケージの内容は、明らかに誤ってパッケージ内に残された Python スクリプトを使用して自動的に生成され、攻撃に使用された作業資格情報が含まれていました。 パッケージは、痕跡を解明して問題のあるパッケージを迅速に特定することが困難な方法を使用して、さまざまなアカウントで公開されていました。
不正行為に加えて、悪意のあるパッケージを公開しようとするいくつかの試みも NPM および PyPi リポジトリで検出されました。
- 451 個の悪意のあるパッケージが PyPI リポジトリで見つかりました。これらは、タイプスクワッティング (個々の文字が異なる類似の名前を割り当てる、たとえば、vyper の代わりに vper、bitcoinlib の代わりに bitcoinnlib、cryptofeed の代わりに ccryptofeed、cryptofeed の代わりに ccxtt) を使用して、いくつかの人気のあるライブラリを装っていました。 ccxt、cryptocompare の代わりに cryptocommpare、Selenium の代わりに seleium、pyinstaller の代わりに pinstaller など)。 パッケージには、暗号通貨を盗むための難読化されたコードが含まれており、クリップボード内の暗号ウォレット識別子の存在を検出し、それを攻撃者のウォレットに変更しました(支払いの際、被害者はウォレット番号がクリップボードを介して転送されたことに気付かないと想定されています)異なります)。 置換は、表示された各 Web ページのコンテキストで実行されるブラウザ アドオンによって実行されました。
- 一連の悪意のある HTTP ライブラリが PyPI リポジトリで確認されました。 悪意のあるアクティビティは 41 個のパッケージで見つかりました。その名前はタイプスクワッティング手法を使用して選択され、一般的なライブラリ (aio5、requestst、ulrlib、urllb、libhttps、piphttps、httpxv2 など) に似ていました。 スタッフィングは、動作する HTTP ライブラリに似たスタイルになっているか、既存のライブラリのコードをコピーしたもので、説明には利点と正規の HTTP ライブラリとの比較に関する主張が含まれていました。 悪意のあるアクティビティには、マルウェアをシステムにダウンロードするか、機密データを収集して送信することが含まれます。
- NPM は、16 の JavaScript パッケージ (speedte*、trova*、lagra) を特定しました。これらには、規定された機能 (スループット テスト) に加えて、ユーザーの知らないうちに暗号通貨をマイニングするためのコードも含まれていました。
- NPMで691個の悪意のあるパッケージが検出されました。問題のあるパッケージのほとんどはYandexプロジェクト(yandex-logger-sentry、yandex-logger-qloud、yandex-sendsmsなど)を偽装しており、機密情報を外部サーバーに送信するコードが含まれていました。 サーバー. Предполагается, разместившие пакеты пытались добиться подстановки собственной зависимости при сборке проектов в Yandex (метод подмены внутренних зависимостей). В репозитории PyPI теми же исследователями найдено 49 пакетов (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp и т.п.) с обфусцированным вредоносным кодом, загружающим и запускающим исполняемый файл с внешнего サーバー.
出所: オープンネット.ru
