NPM은 15개의 피싱 및 스팸 패키지를 식별했습니다.

NPM 디렉토리 사용자에 대한 공격이 기록되었으며 그 결과 20월 15일에 190개 이상의 패키지가 NPM 저장소에 게시되었으며, 그 README 파일에는 피싱 사이트에 대한 링크 또는 로열티가 발생하는 클릭에 대한 추천 링크가 포함되어 있습니다. 지급됩니다. 분석 과정에서 패키지에서 31개 도메인에 걸쳐 XNUMX개의 고유한 피싱 또는 광고 링크가 식별되었습니다.

패키지 이름은 "free-tiktok-followers", "free-xbox-codes", "instagram-followers-free" 등과 같이 일반 사람들의 관심을 끌기 위해 선택되었습니다. NPM 메인 페이지의 최근 업데이트 목록을 스팸 패키지로 채우도록 계산되었습니다. 패키지 설명에는 무료 경품, 선물, 게임 치트뿐만 아니라 TikTok 및 Instagram과 같은 소셜 네트워크에서 팔로어와 좋아요를 늘리기 위한 무료 서비스를 약속하는 링크가 포함되어 있습니다. 이러한 공격은 이번이 처음이 아니며, 144월에 NuGet, NPM 및 PyPi 디렉터리에 XNUMX개의 스팸 패키지가 게시된 것으로 기록되었습니다.

패키지의 콘텐츠는 분명히 실수로 패키지에 남아 있었고 공격에 사용된 작업 자격 증명을 포함하는 Python 스크립트를 사용하여 자동으로 생성되었습니다. 패키지는 추적을 풀고 문제가 있는 패키지를 신속하게 식별하기 어렵게 만드는 방법을 사용하여 다양한 계정으로 게시되었습니다.

사기 활동 외에도 NPM 및 PyPi 저장소에서 악성 패키지를 게시하려는 여러 시도도 감지되었습니다.

• 451개의 악성 패키지가 PyPI 저장소에서 발견되었는데, 이는 타입스쿼팅(개별 문자가 다른 유사한 이름 지정, 예를 들어 vyper 대신 vper, bitcoinlib 대신 bitcoinnlib, cryptofeed 대신 ccryptofeed, ccxtt 대신에 개별 문자가 다른 유사한 이름 할당)을 사용하여 일부 인기 있는 라이브러리로 위장한 것입니다. ccxt, cryptocompare 대신 cryptocommpare, selenium 대신 seleium, pyinstaller 대신 pinstaller 등). 패키지에는 암호화폐를 훔치기 위한 난독화된 코드가 포함되어 있어 클립보드에 암호화폐 지갑 식별자가 있음을 감지하고 이를 공격자의 지갑으로 변경했습니다. (결제 시 피해자가 클립보드를 통해 전송된 지갑 번호를 눈치채지 못할 것으로 추정됩니다.) 은 다르다). 대체는 표시된 각 웹 페이지의 컨텍스트에서 실행되는 브라우저 추가 기능에 의해 수행되었습니다.
• 일련의 악성 HTTP 라이브러리가 PyPI 저장소에서 식별되었습니다. 악성 활동은 41개 패키지에서 발견되었으며, 이름은 타입스쿼팅(typesquatting) 방법을 사용하여 선택되었으며 인기 있는 라이브러리(aio5, requestt, ulrlib, urllb, libhttps, piphttps, httpxv2 등)와 유사했습니다. 스터핑은 작동하는 HTTP 라이브러리와 유사하도록 스타일이 지정되었거나 기존 라이브러리의 코드를 복사했으며 설명에는 합법적인 HTTP 라이브러리와의 이점 및 비교에 대한 주장이 포함되었습니다. 악성 활동은 시스템에 악성 코드를 다운로드하거나 민감한 데이터를 수집 및 전송하는 것으로 구성되었습니다.
• NPM은 명시된 기능(처리량 테스트) 외에도 사용자가 모르는 사이에 암호화폐를 채굴하기 위한 코드가 포함된 16개의 JavaScript 패키지(speedte*, trova*, lagra)를 식별했습니다.
• NPM은 691개의 악성 패키지를 식별했습니다. 문제가 있는 패키지의 대부분은 Yandex 프로젝트(yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms 등)인 척하고 기밀 정보를 외부 서버로 전송하기 위한 코드를 포함했습니다. 패키지를 게시한 사람들은 Yandex에서 프로젝트를 조립할 때 자신의 종속성 대체(내부 종속성 대체 방법)를 달성하려고 시도한 것으로 추정됩니다. 동일한 연구원들은 PyPI 저장소에서 외부 서버에서 실행 파일을 다운로드하고 실행하는 난독화된 악성 코드가 포함된 49개의 패키지(reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp 등)를 발견했습니다.

출처 : opennet.ru