Serangan direkam ing pangguna direktori NPM, minangka asil ing 20 Februari, luwih saka 15 ewu paket dikirim ing repositori NPM, file README sing ana pranala menyang situs phishing utawa pranala rujukan kanggo klik ing royalti. dibayar. Sajrone analisis, 190 pranala phishing utawa iklan sing unik diidentifikasi ing paket kasebut, kalebu 31 domain.
Jeneng-jeneng paket kasebut dipilih kanggo narik minat wong biasa, contone, "free-tiktok-followers", "free-xbox-codes", "instagram-followers-free", lsp. Petungan kasebut digawe kanggo ngisi dhaptar nganyari paling anyar ing kaca utama NPM kanthi paket spam. Katrangan paket kasebut kalebu tautan sing njanjeni hadiah gratis, hadiah, ngapusi game, uga layanan gratis kanggo nambah pengikut lan seneng ing jaringan sosial kayata TikTok lan Instagram. Iki dudu serangan sing sepisanan; ing Desember, publikasi 144 ewu paket spam dicathet ing direktori NuGet, NPM lan PyPi.
Isi paket kasebut digawe kanthi otomatis nggunakake skrip python sing ora sengaja ditinggalake ing paket kasebut lan kalebu kredensial kerja sing digunakake ing serangan kasebut. Paket kasebut diterbitake ing macem-macem akun kanthi nggunakake metode sing nggawe angel kanggo ngilangi jejak lan kanthi cepet ngenali paket sing bermasalah.
Saliyane aktivitas penipuan, sawetara upaya kanggo nerbitake paket jahat uga dideteksi ing repositori NPM lan PyPi:
- 451 paket angkoro ditemokake ing repositori PyPI, sing nyamar dadi sawetara perpustakaan populer nggunakake typesquatting (menehi jeneng sing padha sing beda-beda ing karakter individu, contone, vper tinimbang vyper, bitcoinnlib tinimbang bitcoinlib, ccryptofeed tinimbang cryptofeed, ccxtt tinimbang ccxt, cryptocommpare tinimbang cryptocompare, seleium tinimbang selenium, pinstaller tinimbang pyinstaller, lsp). Paket kasebut kalebu kode obfuscated kanggo nyolong cryptocurrency, sing ndeteksi ananΓ© pengenal dompet crypto ing clipboard lan ngganti menyang dompet panyerang (dianggep yen nalika nggawe pembayaran, korban ora bakal weruh yen nomer dompet ditransfer liwat clipboard. beda). Panggantos kasebut ditindakake kanthi tambahan browser sing dieksekusi ing konteks saben kaca web sing dideleng.
- Serangkaian perpustakaan HTTP sing ala wis diidentifikasi ing repositori PyPI. Aktivitas angkoro ditemokake ing 41 paket, jeneng sing dipilih nggunakake metode typesquatting lan mirip perpustakaan populer (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2, etc.). Isi kasebut ditata meh padha karo perpustakaan HTTP sing digunakake utawa nyalin kode perpustakaan sing ana, lan katrangan kasebut kalebu klaim babagan keuntungan lan mbandhingake karo perpustakaan HTTP sing sah. Aktivitas angkoro kalebu salah siji ndownload malware menyang sistem utawa ngumpulake lan ngirim data sensitif.
- NPM dikenali 16 paket JavaScript (speedte *, trova *, lagra), kang, saliyane kanggo fungsi nyatakake (testing throughput), uga ngemot kode kanggo cryptocurrency pertambangan tanpa kawruh pangguna.
- NPM mengidentifikasi 691 paket jahat. SebagΓ©yan gedhΓ© paket bermasalah nyamar dadi proyek Yandex (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, lan liya-liyane) lan kalebu kode kanggo ngirim informasi rahasia menyang server eksternal. Dianggep manawa wong-wong sing ngirim paket kasebut nyoba ngganti ketergantungan dhewe nalika ngrakit proyek ing Yandex (metode substitusi dependensi internal). Ing repositori PyPI, peneliti sing padha nemokake 49 paket (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, lan sapiturute) kanthi kode angkoro obfuscated sing ngundhuh lan mbukak file eksekusi saka server eksternal.
Source: opennet.ru