Êrîşek li ser bikarhênerên pelrêça NPM hate tomar kirin, ku di encamê de di 20ê Sibatê de, zêdetirî 15 hezar pakêt di depoya NPM de hatin şandin, pelên README yên ku tê de lînkên malperên phishing an lînkên referansê hene ji bo klîkên li ser kîjan mafan. têne dayîn. Di dema analîzê de, 190 girêdanên phishing an reklamê yên yekta di pakêtan de hatine nas kirin, ku 31 domanan vedihewîne.
Navên pakêtan ji bo ku bala mirovên asayî bikişîne hatine hilbijartin, mînakî, "belaş-tiktok-şopgirên", "free-xbox-kod", "instagram-paşgir-free" û hwd. Hesab hate çêkirin da ku navnîşa nûvekirinên vê dawiyê yên li ser rûpela sereke ya NPM bi pakêtên spam tije bike. Danasînên pakêtan girêdanên ku soz didin xelatên belaş, diyarî, xapandinên lîstikê, û her weha karûbarên belaş ên ji bo zêdekirina şopîneran û hezkiriyên li ser torên civakî yên wekî TikTok û Instagram vedihewîne. Ev ne êrîşa bi vî rengî ya yekem e; di Kanûnê de, weşandina 144 hezar pakêtên spam di pelrêça NuGet, NPM û PyPi de hate tomar kirin.
Naveroka pakêtan bixweber bi karanîna skrîptek python ku bi eşkereyî di pakêtan de hatî hiştin û pêbaweriyên xebatê yên ku di êrîşê de hatine bikar anîn tê de hate çêkirin. Pakêtan di bin gelek hesabên cihêreng de bi karanîna rêbazên ku vekêşana rê û zû tespîtkirina pakêtên pirsgirêk dijwar dike hatin weşandin.
Digel çalakiyên xapînok, gelek hewildanên weşandina pakêtên xerab jî di depoyên NPM û PyPi de hatin dîtin:
- 451 pakêtên xerab di depoya PyPI de hatin dîtin, yên ku xwe wek hin pirtûkxaneyên populer bi karanîna tîpên tîpan veşartibûn (navên mîna hev ên ku di tîpên kesane de ji hev cihê dikin, mînakî, vper li şûna vyper, bitcoinnlib li şûna bitcoinlib, ccryptofeed li şûna cryptofeed, ccxtt li şûna ccxt, cryptocommpare li şûna cryptocurpare, seleium li şûna selenium, pinstaller li şûna pyinstaller, hwd.). Di nav pakêtan de koda nepenî ya ji bo dizîna diravê krîptoyê heye, ku hebûna nasnameyên berîka krîptoyê di paçikê de tesbît kir û wan kir berîka êrîşkar (tê texmîn kirin ku dema ku drav dide, mexdûr ê ferq neke ku jimareya berîka krîptoyê bi navgîniyê veguhestiye cuda ye). Veguheztin ji hêla pêvekek gerokê ve ku di çarçoweya her rûpelê webê de hatî dîtin de hate bicîh kirin.
- Di depoya PyPI de rêzek pirtûkxaneyên HTTP yên xerab hatine nas kirin. Çalakiya xerab di 41 pakêtan de hat dîtin, navên wan bi rêbazên tîpguhêzkirinê hatine hilbijartin û dişibin pirtûkxaneyên populer (aio5, daxwazst, ulrlib, urllb, libhttps, piphttps, httpxv2, hwd.). Dagirkirin ji bo ku dişibin pirtûkxaneyên HTTP-ê yên xebatê an jî koda pirtûkxaneyên heyî hatine kopî kirin, û ravekirinê îdîayên li ser feyde û berhevdana bi pirtûkxaneyên HTTP yên rewa re vedihewîne. Çalakiya xerab ji daxistina malware li ser pergalê an jî berhevkirin û şandina daneyên hesas pêk dihat.
- NPM 16 pakêtên JavaScript-ê (speedte*, trova*, lagra) nas kir, ku ji bilî fonksiyona diyarkirî (ceribandina rêvekirinê), di heman demê de koda ji bo derxistina diravê krîptoyê bêyî agahdariya bikarhêner jî dihewîne.
- NPM 691 pakêtên xerab nas kir. Piraniya pakêtên pirsgirêk wekî projeyên Yandex-ê (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, hwd.) îdia dikin ku ji bo şandina agahdariya nepenî ji serverên derveyî re kod tê de hene. Tê texmîn kirin ku yên ku pakêtan şandine dema ku projeyên li Yandex-ê kom dikin (rêbaza cîgirkirina girêdanên hundurîn) hewl didin ku bigihîjin cîgiriya girêdayîbûna xwe. Di depoya PyPI de, heman lêkolîneran 49 pakêt (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, hwd.) bi koda nebaş a ku pelek îcrakar ji serverek derveyî dadixe û dimeşîne dîtin.
Source: opennet.ru