Êrîşek li ser bikarhênerên pelrêça NPM hate tomar kirin, ku di encamê de di 20ê Sibatê de, zêdetirî 15 hezar pakêt di depoya NPM de hatin şandin, pelên README yên ku tê de lînkên malperên phishing an lînkên referansê hene ji bo klîkên li ser kîjan mafan. têne dayîn. Di dema analîzê de, 190 girêdanên phishing an reklamê yên yekta di pakêtan de hatine nas kirin, ku 31 domanan vedihewîne.
Navên pakêtan ji bo ku bala mirovên asayî bikişîne hatine hilbijartin, mînakî, "belaş-tiktok-şopgirên", "free-xbox-kod", "instagram-paşgir-free" û hwd. Hesab hate çêkirin da ku navnîşa nûvekirinên vê dawiyê yên li ser rûpela sereke ya NPM bi pakêtên spam tije bike. Danasînên pakêtan girêdanên ku soz didin xelatên belaş, diyarî, xapandinên lîstikê, û her weha karûbarên belaş ên ji bo zêdekirina şopîneran û hezkiriyên li ser torên civakî yên wekî TikTok û Instagram vedihewîne. Ev ne êrîşa bi vî rengî ya yekem e; di Kanûnê de, weşandina 144 hezar pakêtên spam di pelrêça NuGet, NPM û PyPi de hate tomar kirin.
Naveroka pakêtan bixweber bi karanîna skrîptek python ku bi eşkereyî di pakêtan de hatî hiştin û pêbaweriyên xebatê yên ku di êrîşê de hatine bikar anîn tê de hate çêkirin. Pakêtan di bin gelek hesabên cihêreng de bi karanîna rêbazên ku vekêşana rê û zû tespîtkirina pakêtên pirsgirêk dijwar dike hatin weşandin.
Digel çalakiyên xapînok, gelek hewildanên weşandina pakêtên xerab jî di depoyên NPM û PyPi de hatin dîtin:
- 451 pakêtên xerab di depoya PyPI de hatin dîtin, yên ku xwe wek hin pirtûkxaneyên populer bi karanîna tîpên tîpan veşartibûn (navên mîna hev ên ku di tîpên kesane de ji hev cihê dikin, mînakî, vper li şûna vyper, bitcoinnlib li şûna bitcoinlib, ccryptofeed li şûna cryptofeed, ccxtt li şûna ccxt, cryptocommpare li şûna cryptocurpare, seleium li şûna selenium, pinstaller li şûna pyinstaller, hwd.). Di nav pakêtan de koda nepenî ya ji bo dizîna diravê krîptoyê heye, ku hebûna nasnameyên berîka krîptoyê di paçikê de tesbît kir û wan kir berîka êrîşkar (tê texmîn kirin ku dema ku drav dide, mexdûr ê ferq neke ku jimareya berîka krîptoyê bi navgîniyê veguhestiye cuda ye). Veguheztin ji hêla pêvekek gerokê ve ku di çarçoweya her rûpelê webê de hatî dîtin de hate bicîh kirin.
- Di depoya PyPI de rêzek pirtûkxaneyên HTTP yên xerab hatine nas kirin. Çalakiya xerab di 41 pakêtan de hat dîtin, navên wan bi rêbazên tîpguhêzkirinê hatine hilbijartin û dişibin pirtûkxaneyên populer (aio5, daxwazst, ulrlib, urllb, libhttps, piphttps, httpxv2, hwd.). Dagirkirin ji bo ku dişibin pirtûkxaneyên HTTP-ê yên xebatê an jî koda pirtûkxaneyên heyî hatine kopî kirin, û ravekirinê îdîayên li ser feyde û berhevdana bi pirtûkxaneyên HTTP yên rewa re vedihewîne. Çalakiya xerab ji daxistina malware li ser pergalê an jî berhevkirin û şandina daneyên hesas pêk dihat.
- NPM 16 pakêtên JavaScript-ê (speedte*, trova*, lagra) nas kir, ku ji bilî fonksiyona diyarkirî (ceribandina rêvekirinê), di heman demê de koda ji bo derxistina diravê krîptoyê bêyî agahdariya bikarhêner jî dihewîne.
- 691 pakêtên zirardar di NPM de hatin tespîtkirin. Piraniya pakêtên pirsgirêkdar projeyên Yandex (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, hwd.) teqlîd dikirin û koda şandina agahiyên nepenî bo serverên derveyî dihewîne. serveranBaweriya wan heye ku ew kesên ku pakêt şandine, hewl didan ku dema ku projeyan di Yandex de ava dikirin, girêdayîyên xwe biguherînin (rêbazek ji bo guhertina girêdayîyên navxweyî). Di depoya PyPI de, heman lêkolîneran 49 pakêt (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, hwd.) dîtin ku kodên xerabkar ên nezelal dihewînin ku pelek bicîhkirî ji serverek derveyî dakêşîne û dixebitîne. server.
Source: opennet.ru
