🥇NPM에서 15개의 피싱 및 스팸 패키지 발견

NPM 디렉토리 사용자에 대한 공격이 기록되었으며, 그 결과 20월 15일에 190개 이상의 패키지가 NPM 저장소에 추가되었고, 해당 README 파일에는 로열티가 지불되는 클릭에 대한 피싱 사이트나 추천 링크로 연결되는 링크가 포함되어 있었습니다. 분석 과정에서 패키지에서 31개 도메인을 포함하는 XNUMX개의 고유한 피싱 또는 광고 링크가 확인되었습니다.

패키지 이름은 "free-tiktok-followers", "free-xbox-codes", "instagram-followers-free" 등 일반 대중의 관심을 끌기 위해 선택되었습니다. 이는 NPM 홈페이지의 최근 업데이트 목록을 스팸 패키지로 채우려는 의도였습니다. 패키지 설명에는 무료 경품, 선물, 게임 치트, 그리고 TikTok과 Instagram과 같은 소셜 미디어 플랫폼에서 팔로워와 좋아요를 늘려주는 무료 서비스를 약속하는 링크가 포함되어 있었습니다. 이러한 공격은 이번이 처음이 아닙니다. 12월에는 NuGet, NPM, PyPi에 14만 4천 건의 스팸 패키지가 게시되었습니다.

패키지 내용물은 파이썬 스크립트를 사용하여 자동 생성되었으며, 의도치 않게 패키지에 포함되어 있었습니다. 여기에는 공격에 사용된 자격 증명이 포함되어 있었습니다. 패키지는 여러 계정으로 배포되었으며, 추적 및 문제 패키지의 신속한 식별을 어렵게 하는 기법을 사용했습니다.

사기 행위 외에도 NPM 및 PyPi 저장소에서 악성 패키지를 게시하려는 시도도 여러 번 감지되었습니다.

PyPI 저장소에서 451개의 악성 패키지가 발견되었습니다. 이 패키지들은 타이포스쿼팅(vyper 대신 vper, bitcoinlib 대신 bitcoinnlib, cryptofeed 대신 ccryptofeed, ccxt 대신 ccxtt, cryptocompare 대신 cryptocommpare, selenium 대신 seleium, pyinstaller 대신 pinstaller 등 문자만 다르게 사용하는 유사한 이름을 지정하는 것)을 사용하여 인기 라이브러리로 위장했습니다. 이 패키지에는 클립보드에서 암호화폐 지갑 ID를 감지하여 공격자의 지갑으로 대체하는 난독화된 암호화폐 탈취 코드가 포함되어 있었습니다. (이는 피해자가 결제 시 클립보드에서 복사된 다른 지갑 번호를 알아차리지 못하도록 하기 위한 것입니다.) 이러한 대체는 모든 웹 페이지 컨텍스트에서 실행되는 브라우저 애드온에 의해 수행되었습니다.
PyPI 저장소에서 일련의 악성 HTTP 라이브러리가 발견되었습니다. 41개 패키지에서 악성 활동이 발견되었는데, 이 패키지의 이름은 타이포스쿼팅 방법을 사용하여 선택되었으며 인기 있는 라이브러리(aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2 등)와 유사했습니다. 페이로드는 작동하는 HTTP 라이브러리처럼 보이도록 스타일이 지정되었거나 기존 라이브러리의 코드를 복사했으며, 설명에는 합법적인 HTTP 라이브러리와의 비교와 이점에 대한 주장이 포함되었습니다. 악의적인 활동은 시스템에 맬웨어를 다운로드하거나 기밀 데이터를 수집하여 전송하는 것으로 구성되었습니다.
NPM은 명시된 기능(대역폭 테스트) 외에도 사용자의 지식 없이 암호화폐를 채굴하는 코드가 포함된 JavaScript 패키지 16개(speedte*, trova*, lagra)를 확인했습니다.
NPM에서 691개의 악성 패키지가 탐지되었습니다. 문제가 있는 패키지 대부분은 Yandex 프로젝트(yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms 등)를 사칭했으며, 기밀 정보를 외부 서버로 전송하는 코드를 포함하고 있었습니다. 서버해당 패키지를 게시한 사람들은 Yandex에서 프로젝트를 빌드할 때 자체 종속성을 사용하는 방식(내부 종속성 대체 방법)을 시도한 것으로 추정됩니다. 동일한 연구원들은 PyPI 저장소에서 외부 서버에서 실행 파일을 다운로드하고 실행하는 난독화된 악성 코드가 포함된 49개의 패키지(reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp 등)를 발견했습니다. 서버.

출처 : opennet.ru

NPM은 15개의 피싱 및 스팸 패키지를 식별했습니다.