NPM анықтамалығын пайдаланушыларға шабуыл тіркелді, нәтижесінде 20 ақпанда NPM репозиторийінде README файлдарында фишинг сайттарына сілтемелер немесе роялти алынатын басуларға сілтемелер бар 15 мыңнан астам пакеттер орналастырылды. төленеді. Талдау барысында пакеттерде 190 доменді қамтитын 31 бірегей фишингтік немесе жарнамалық сілтемелер анықталды.
Пакеттердің атаулары қарапайым халықтың қызығушылығын тудыратындай етіп таңдалды, мысалы, «тегін-tiktok-пайдаланушылар», «тегін-xbox-кодтар», «instagram-ізбасарлары-тегін» т.б. Есептеу NPM негізгі бетіндегі соңғы жаңартулар тізімін спам пакеттерімен толтыру үшін жасалды. Пакеттердің сипаттамасында тегін сыйлықтар, сыйлықтар, ойын хиттері, сондай-ақ TikTok және Instagram сияқты әлеуметтік желілерде жазылушылар мен ұнатуларды арттыруға арналған ақысыз қызметтер бар сілтемелер бар. Бұл бірінші шабуыл емес, желтоқсан айында NuGet, NPM және PyPi каталогтарында 144 мың спам пакетінің жариялануы тіркелді.
Пакеттердің мазмұны python сценарийі арқылы автоматты түрде жасалды, ол пакеттерде байқаусызда қалдырылды және шабуылда пайдаланылған жұмыс тіркелгі деректерін қамтиды. Пакеттер жолды шешуді және проблемалық пакеттерді жылдам анықтауды қиындатқан әдістерді қолдана отырып, көптеген әртүрлі тіркелгілерде жарияланды.
Алаяқтық әрекеттерден басқа, NPM және PyPi репозиторийлерінде зиянды пакеттерді жариялауға бірнеше әрекеттер де анықталды:
- PyPI репозиторийінде 451 зиянды бума табылды, олар typequatting (жеке таңбалармен ерекшеленетін ұқсас атауларды тағайындау, мысалы, vyper орнына vper, bitcoinlib орнына bitcoinnlib, cryptofeed орнына ccryptofeed, ccxtt орнына ccxtt) арқылы өздерін танымал кітапханалар ретінде жасырған. ccxt, cryptocompare орнына cryptocommpare, selenium орнына seleium, pyinstaller орнына pinstaller және т.б.). Пакеттерде криптовалюта ұрлаудың жасырын коды болды, ол алмасу буферінде криптографиялық әмиян идентификаторларының болуын анықтады және оларды шабуылдаушының әмиянына ауыстырды (төлем жасау кезінде жәбірленуші әмиян нөмірі алмасу буфері арқылы тасымалданғанын байқамайды деп болжанады). әртүрлі). Ауыстыру әрбір қаралған веб-беттің контекстінде орындалатын шолғыш қондырмасы арқылы жүзеге асырылды.
- PyPI репозиторийінде зиянды HTTP кітапханаларының қатары анықталды. Зиянды әрекет 41 пакеттен табылды, олардың атаулары типквотинг әдістері арқылы таңдалған және танымал кітапханаларға ұқсайтын (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2 және т.б.). Толтыру жұмыс істейтін HTTP кітапханаларына ұқсайтын етіп стильдендірілген немесе бар кітапханалардың кодын көшірген және сипаттамада заңды HTTP кітапханаларымен артықшылықтар мен салыстырулар туралы шағымдар қамтылған. Зиянды әрекет жүйеге зиянды бағдарламаны жүктеп алу немесе құпия деректерді жинау және жіберуден тұрды.
- NPM 16 JavaScript пакетін (speedte*, trova*, lagra) анықтады, оларда көрсетілген функционалдылыққа қосымша (өткізу қабілетін тексеру) пайдаланушының хабарынсыз криптовалютаны өндіруге арналған код бар.
- NPM 691 зиянды пакетті анықтады. Проблемалық пакеттердің көпшілігі Яндекс жобалары (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms және т.б.) болып көрінді және сыртқы серверлерге құпия ақпаратты жіберуге арналған кодты қамтиды. Пакеттерді орналастырғандар Яндекс-те жобаларды құрастыру кезінде (ішкі тәуелділіктерді ауыстыру әдісі) өздерінің тәуелділігін ауыстыруға тырысты деп болжанады. PyPI репозиторийінде дәл сол зерттеушілер сыртқы серверден орындалатын файлды жүктеп алатын және іске қосатын жасырын зиянды коды бар 49 пакетті (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp және т.б.) тапты.
Ақпарат көзі: opennet.ru