NPM ಡೈರೆಕ್ಟರಿಯ ಬಳಕೆದಾರರ ಮೇಲೆ ದಾಳಿಯನ್ನು ದಾಖಲಿಸಲಾಗಿದೆ, ಇದರ ಪರಿಣಾಮವಾಗಿ ಫೆಬ್ರವರಿ 20 ರಂದು, NPM ರೆಪೊಸಿಟರಿಯಲ್ಲಿ 15 ಸಾವಿರಕ್ಕೂ ಹೆಚ್ಚು ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಪೋಸ್ಟ್ ಮಾಡಲಾಗಿದೆ, README ಫೈಲ್ಗಳು ಫಿಶಿಂಗ್ ಸೈಟ್ಗಳಿಗೆ ಲಿಂಕ್ಗಳನ್ನು ಒಳಗೊಂಡಿವೆ ಅಥವಾ ರಾಯಧನದ ಕ್ಲಿಕ್ಗಳಿಗಾಗಿ ಉಲ್ಲೇಖಿತ ಲಿಂಕ್ಗಳನ್ನು ಒಳಗೊಂಡಿವೆ. ಪಾವತಿಸಲಾಗುತ್ತದೆ. ವಿಶ್ಲೇಷಣೆಯ ಸಮಯದಲ್ಲಿ, 190 ಡೊಮೇನ್ಗಳನ್ನು ಒಳಗೊಂಡಿರುವ ಪ್ಯಾಕೇಜ್ಗಳಲ್ಲಿ 31 ಅನನ್ಯ ಫಿಶಿಂಗ್ ಅಥವಾ ಜಾಹೀರಾತು ಲಿಂಕ್ಗಳನ್ನು ಗುರುತಿಸಲಾಗಿದೆ.
ಸಾಮಾನ್ಯ ಜನರ ಆಸಕ್ತಿಯನ್ನು ಆಕರ್ಷಿಸಲು ಪ್ಯಾಕೇಜ್ಗಳ ಹೆಸರುಗಳನ್ನು ಆಯ್ಕೆ ಮಾಡಲಾಗಿದೆ, ಉದಾಹರಣೆಗೆ, “ಉಚಿತ-ಟಿಕ್ಟಾಕ್-ಅನುಯಾಯಿಗಳು”, “ಉಚಿತ-ಎಕ್ಸ್ಬಾಕ್ಸ್-ಕೋಡ್ಗಳು”, “ಇನ್ಸ್ಟಾಗ್ರಾಮ್-ಅನುಯಾಯಿಗಳು-ಮುಕ್ತ”, ಇತ್ಯಾದಿ. NPM ಮುಖ್ಯ ಪುಟದಲ್ಲಿ ಇತ್ತೀಚಿನ ನವೀಕರಣಗಳ ಪಟ್ಟಿಯನ್ನು ಸ್ಪ್ಯಾಮ್ ಪ್ಯಾಕೇಜ್ಗಳೊಂದಿಗೆ ತುಂಬಲು ಲೆಕ್ಕಾಚಾರವನ್ನು ಮಾಡಲಾಗಿದೆ. ಪ್ಯಾಕೇಜ್ಗಳ ವಿವರಣೆಗಳು ಉಚಿತ ಕೊಡುಗೆಗಳು, ಉಡುಗೊರೆಗಳು, ಗೇಮ್ ಚೀಟ್ಗಳು, ಹಾಗೆಯೇ ಟಿಕ್ಟಾಕ್ ಮತ್ತು ಇನ್ಸ್ಟಾಗ್ರಾಮ್ನಂತಹ ಸಾಮಾಜಿಕ ನೆಟ್ವರ್ಕ್ಗಳಲ್ಲಿ ಅನುಯಾಯಿಗಳು ಮತ್ತು ಇಷ್ಟಗಳನ್ನು ಹೆಚ್ಚಿಸುವ ಉಚಿತ ಸೇವೆಗಳನ್ನು ಭರವಸೆ ನೀಡುವ ಲಿಂಕ್ಗಳನ್ನು ಒಳಗೊಂಡಿವೆ. ಇದು ಮೊದಲ ದಾಳಿಯಲ್ಲ; ಡಿಸೆಂಬರ್ನಲ್ಲಿ, 144 ಸಾವಿರ ಸ್ಪ್ಯಾಮ್ ಪ್ಯಾಕೇಜ್ಗಳ ಪ್ರಕಟಣೆಯನ್ನು NuGet, NPM ಮತ್ತು PyPi ಡೈರೆಕ್ಟರಿಗಳಲ್ಲಿ ದಾಖಲಿಸಲಾಗಿದೆ.
ಪ್ಯಾಕೇಜುಗಳ ವಿಷಯಗಳನ್ನು ಪೈಥಾನ್ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ರಚಿಸಲಾಗಿದೆ, ಅದು ಸ್ಪಷ್ಟವಾಗಿ ಪ್ಯಾಕೇಜ್ಗಳಲ್ಲಿ ಅಜಾಗರೂಕತೆಯಿಂದ ಉಳಿದಿದೆ ಮತ್ತು ದಾಳಿಯಲ್ಲಿ ಬಳಸಿದ ಕೆಲಸದ ರುಜುವಾತುಗಳನ್ನು ಒಳಗೊಂಡಿದೆ. ಪ್ಯಾಕೇಜುಗಳನ್ನು ಹಲವಾರು ವಿಭಿನ್ನ ಖಾತೆಗಳ ಅಡಿಯಲ್ಲಿ ಪ್ರಕಟಿಸಲಾಗಿದೆ, ಇದು ಟ್ರಯಲ್ ಅನ್ನು ಬಿಡಿಸಲು ಮತ್ತು ಸಮಸ್ಯಾತ್ಮಕ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ತ್ವರಿತವಾಗಿ ಗುರುತಿಸಲು ಕಷ್ಟಕರವಾದ ವಿಧಾನಗಳನ್ನು ಬಳಸುತ್ತದೆ.
ಮೋಸದ ಚಟುವಟಿಕೆಗಳ ಜೊತೆಗೆ, NPM ಮತ್ತು PyPi ರೆಪೊಸಿಟರಿಗಳಲ್ಲಿ ದುರುದ್ದೇಶಪೂರಿತ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಪ್ರಕಟಿಸಲು ಹಲವಾರು ಪ್ರಯತ್ನಗಳನ್ನು ಸಹ ಪತ್ತೆ ಮಾಡಲಾಗಿದೆ:
- PyPI ರೆಪೊಸಿಟರಿಯಲ್ಲಿ 451 ದುರುದ್ದೇಶಪೂರಿತ ಪ್ಯಾಕೇಜುಗಳು ಕಂಡುಬಂದಿವೆ, ಇದು ಟೈಪ್ಕ್ವಾಟಿಂಗ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಕೆಲವು ಜನಪ್ರಿಯ ಲೈಬ್ರರಿಗಳಂತೆ ಮರೆಮಾಚುತ್ತದೆ (ವೈಪರ್ ಬದಲಿಗೆ ವೈಪರ್ ಬದಲಿಗೆ vper, ಬಿಟ್ಕಾಯಿನ್ಲಿಬ್ ಬದಲಿಗೆ ಬಿಟ್ಕಾಯಿನ್ಲಿಬ್, ಕ್ರಿಪ್ಟೋಫೀಡ್ ಬದಲಿಗೆ ಸಿಸಿಕ್ರಿಪ್ಟೋಫೀಡ್, ಸಿಸಿಎಕ್ಸ್ಟಿ ಬದಲಿಗೆ ccxt, cryptocompare ಬದಲಿಗೆ cryptocompare, ಸೆಲೆನಿಯಮ್ ಬದಲಿಗೆ ಸೆಲಿಯಂ, pyinstaller ಬದಲಿಗೆ pinstaller, ಇತ್ಯಾದಿ). ಪ್ಯಾಕೇಜುಗಳು ಕ್ರಿಪ್ಟೋಕರೆನ್ಸಿ ಕದಿಯಲು ಅಸ್ಪಷ್ಟ ಕೋಡ್ ಅನ್ನು ಒಳಗೊಂಡಿತ್ತು, ಇದು ಕ್ಲಿಪ್ಬೋರ್ಡ್ನಲ್ಲಿ ಕ್ರಿಪ್ಟೋ ವಾಲೆಟ್ ಐಡೆಂಟಿಫೈಯರ್ಗಳ ಉಪಸ್ಥಿತಿಯನ್ನು ಪತ್ತೆ ಮಾಡುತ್ತದೆ ಮತ್ತು ಅವುಗಳನ್ನು ಆಕ್ರಮಣಕಾರರ ವ್ಯಾಲೆಟ್ಗೆ ಬದಲಾಯಿಸಿತು (ಪಾವತಿ ಮಾಡುವಾಗ, ಕ್ಲಿಪ್ಬೋರ್ಡ್ ಮೂಲಕ ವ್ಯಾಲೆಟ್ ಸಂಖ್ಯೆಯನ್ನು ವರ್ಗಾಯಿಸಲಾಗಿದೆ ಎಂದು ಬಲಿಪಶು ಗಮನಿಸುವುದಿಲ್ಲ ಎಂದು ಭಾವಿಸಲಾಗಿದೆ. ವಿಭಿನ್ನವಾಗಿದೆ). ಪ್ರತಿ ವೆಬ್ ಪುಟವನ್ನು ವೀಕ್ಷಿಸುವ ಸಂದರ್ಭದಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳಿಸಲಾದ ಬ್ರೌಸರ್ ಆಡ್-ಆನ್ ಮೂಲಕ ಪರ್ಯಾಯವನ್ನು ಕೈಗೊಳ್ಳಲಾಗಿದೆ.
- PyPI ರೆಪೊಸಿಟರಿಯಲ್ಲಿ ದುರುದ್ದೇಶಪೂರಿತ HTTP ಲೈಬ್ರರಿಗಳ ಸರಣಿಯನ್ನು ಗುರುತಿಸಲಾಗಿದೆ. ದುರುದ್ದೇಶಪೂರಿತ ಚಟುವಟಿಕೆಯು 41 ಪ್ಯಾಕೇಜ್ಗಳಲ್ಲಿ ಕಂಡುಬಂದಿದೆ, ಇವುಗಳ ಹೆಸರುಗಳನ್ನು ಟೈಪ್ಕ್ವಾಟಿಂಗ್ ವಿಧಾನಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಆಯ್ಕೆಮಾಡಲಾಗಿದೆ ಮತ್ತು ಜನಪ್ರಿಯ ಲೈಬ್ರರಿಗಳನ್ನು ಹೋಲುತ್ತವೆ (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2, ಇತ್ಯಾದಿ.). ಕೆಲಸ ಮಾಡುತ್ತಿರುವ HTTP ಲೈಬ್ರರಿಗಳನ್ನು ಹೋಲುವಂತೆ ಸ್ಟಫಿಂಗ್ ಅನ್ನು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ ಅಥವಾ ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ಲೈಬ್ರರಿಗಳ ಕೋಡ್ ಅನ್ನು ನಕಲಿಸಲಾಗಿದೆ, ಮತ್ತು ವಿವರಣೆಯು ಕಾನೂನುಬದ್ಧ HTTP ಲೈಬ್ರರಿಗಳೊಂದಿಗೆ ಪ್ರಯೋಜನಗಳು ಮತ್ತು ಹೋಲಿಕೆಗಳ ಬಗ್ಗೆ ಹಕ್ಕುಗಳನ್ನು ಒಳಗೊಂಡಿದೆ. ದುರುದ್ದೇಶಪೂರಿತ ಚಟುವಟಿಕೆಯು ಸಿಸ್ಟಮ್ಗೆ ಮಾಲ್ವೇರ್ ಅನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡುವುದು ಅಥವಾ ಸೂಕ್ಷ್ಮ ಡೇಟಾವನ್ನು ಸಂಗ್ರಹಿಸುವುದು ಮತ್ತು ಕಳುಹಿಸುವುದನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ.
- NPM 16 ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು (ಸ್ಪೀಡ್ಟೆ*, ಟ್ರೋವಾ*, ಲಾಗ್ರಾ) ಗುರುತಿಸಿದೆ, ಇದು ಹೇಳಲಾದ ಕಾರ್ಯನಿರ್ವಹಣೆಯ ಜೊತೆಗೆ (ಥ್ರೋಪುಟ್ ಪರೀಕ್ಷೆ), ಬಳಕೆದಾರರ ಅರಿವಿಲ್ಲದೆ ಗಣಿಗಾರಿಕೆ ಕ್ರಿಪ್ಟೋಕರೆನ್ಸಿಗೆ ಕೋಡ್ ಅನ್ನು ಸಹ ಒಳಗೊಂಡಿದೆ.
- NPM 691 ದುರುದ್ದೇಶಪೂರಿತ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಗುರುತಿಸಿದೆ. ಹೆಚ್ಚಿನ ಸಮಸ್ಯಾತ್ಮಕ ಪ್ಯಾಕೇಜುಗಳು ಯಾಂಡೆಕ್ಸ್ ಪ್ರಾಜೆಕ್ಟ್ಗಳಂತೆ ನಟಿಸುತ್ತವೆ (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, ಇತ್ಯಾದಿ.) ಮತ್ತು ಬಾಹ್ಯ ಸರ್ವರ್ಗಳಿಗೆ ಗೌಪ್ಯ ಮಾಹಿತಿಯನ್ನು ಕಳುಹಿಸಲು ಕೋಡ್ ಅನ್ನು ಒಳಗೊಂಡಿತ್ತು. ಯಾಂಡೆಕ್ಸ್ನಲ್ಲಿ ಯೋಜನೆಗಳನ್ನು ಜೋಡಿಸುವಾಗ (ಆಂತರಿಕ ಅವಲಂಬನೆಗಳ ಪರ್ಯಾಯ ವಿಧಾನ) ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಪೋಸ್ಟ್ ಮಾಡಿದವರು ತಮ್ಮದೇ ಆದ ಅವಲಂಬನೆಯ ಪರ್ಯಾಯವನ್ನು ಸಾಧಿಸಲು ಪ್ರಯತ್ನಿಸುತ್ತಿದ್ದಾರೆ ಎಂದು ಭಾವಿಸಲಾಗಿದೆ. PyPI ರೆಪೊಸಿಟರಿಯಲ್ಲಿ, ಅದೇ ಸಂಶೋಧಕರು 49 ಪ್ಯಾಕೇಜುಗಳನ್ನು (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, ಇತ್ಯಾದಿ.) ಬಾಹ್ಯ ಸರ್ವರ್ನಿಂದ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ ಅನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡುವ ಮತ್ತು ರನ್ ಮಾಡುವ ಅಸ್ಪಷ್ಟ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ನೊಂದಿಗೆ ಕಂಡುಕೊಂಡರು.
ಮೂಲ: opennet.ru