NPM ディレクトリのユーザーに対する攻撃が記録され、その結果、20 月 15 日、190 を超えるパッケージが NPM リポジトリに投稿されました。その README ファイルには、フィッシング サイトへのリンクや、クリックすると使用料が発生する紹介リンクが含まれていました。支払われました。 分析中に、31 のドメインをカバーする XNUMX 個の固有のフィッシングまたは広告リンクがパッケージ内で特定されました。
パッケージの名前は、「無料-tiktok-フォロワー」、「無料-xbox-コード」、「インスタグラム-フォロワー-フリー」など、一般の人々の興味を引くように選択されています。 この計算は、NPM メイン ページの最近の更新リストをスパム パッケージで埋めるために行われました。 パッケージの説明には、無料の特典、ギフト、ゲーム攻略のほか、TikTokやInstagramなどのソーシャルネットワークでフォロワーや「いいね!」を増やすための無料サービスを約束するリンクが含まれていた。 このような攻撃はこれが初めてではなく、144 月には XNUMX 個のスパム パッケージが NuGet、NPM、および PyPi ディレクトリに公開されたことが記録されています。
パッケージの内容は、明らかに誤ってパッケージ内に残された Python スクリプトを使用して自動的に生成され、攻撃に使用された作業資格情報が含まれていました。 パッケージは、痕跡を解明して問題のあるパッケージを迅速に特定することが困難な方法を使用して、さまざまなアカウントで公開されていました。
不正行為に加えて、悪意のあるパッケージを公開しようとするいくつかの試みも NPM および PyPi リポジトリで検出されました。
- 451 個の悪意のあるパッケージが PyPI リポジトリで見つかりました。これらは、タイプスクワッティング (個々の文字が異なる類似の名前を割り当てる、たとえば、vyper の代わりに vper、bitcoinlib の代わりに bitcoinnlib、cryptofeed の代わりに ccryptofeed、cryptofeed の代わりに ccxtt) を使用して、いくつかの人気のあるライブラリを装っていました。 ccxt、cryptocompare の代わりに cryptocommpare、Selenium の代わりに seleium、pyinstaller の代わりに pinstaller など)。 パッケージには、暗号通貨を盗むための難読化されたコードが含まれており、クリップボード内の暗号ウォレット識別子の存在を検出し、それを攻撃者のウォレットに変更しました(支払いの際、被害者はウォレット番号がクリップボードを介して転送されたことに気付かないと想定されています)異なります)。 置換は、表示された各 Web ページのコンテキストで実行されるブラウザ アドオンによって実行されました。
- 一連の悪意のある HTTP ライブラリが PyPI リポジトリで確認されました。 悪意のあるアクティビティは 41 個のパッケージで見つかりました。その名前はタイプスクワッティング手法を使用して選択され、一般的なライブラリ (aio5、requestst、ulrlib、urllb、libhttps、piphttps、httpxv2 など) に似ていました。 スタッフィングは、動作する HTTP ライブラリに似たスタイルになっているか、既存のライブラリのコードをコピーしたもので、説明には利点と正規の HTTP ライブラリとの比較に関する主張が含まれていました。 悪意のあるアクティビティには、マルウェアをシステムにダウンロードするか、機密データを収集して送信することが含まれます。
- NPM は、16 の JavaScript パッケージ (speedte*、trova*、lagra) を特定しました。これらには、規定された機能 (スループット テスト) に加えて、ユーザーの知らないうちに暗号通貨をマイニングするためのコードも含まれていました。
- NPM は 691 個の悪意のあるパッケージを特定しました。 問題のあるパッケージのほとんどは Yandex プロジェクト (yandex-logger-sentry、yandex-logger-qloud、yandex-sendsms など) を装い、外部サーバーに機密情報を送信するためのコードが含まれていました。 パッケージを投稿した人は、Yandex でプロジェクトを組み立てる際に、独自の依存関係の置換 (内部依存関係の置換方法) を実現しようとしていたと考えられます。 同じ研究者は、PyPI リポジトリで、外部サーバーから実行可能ファイルをダウンロードして実行する難読化された悪意のあるコードを含む 49 個のパッケージ (reqsystem、httpxfaster、aio6、gorilla2、httpsos、pohttp など) を発見しました。
出所: オープンネット.ru