Impetum in usoribus directorii NPM adnotatum est, cuius effectus die XX mensis Februarii plus quam XV milia sarcinarum in repositorio NPM missae sunt, cuius fasciculi README continebant nexus situs phishing vel deferre nexus pro clicks in quibus regalia. solvantur. In analysi, 20 nexus unice hamatae vel vendo notae sunt in fasciculis, 15 ditiones obtegentes.
Nomina fasciculorum electa sunt ad attrahendum commodum simplicium hominum, exempli gratia, "liberi-tiktok-sequentium", "liberorum xbox-coderum", "instagram-imatorum liberorum" etc. Calculus factus est ut indices recentium renovationum in NPM pagina principali cum fasciculis spam replerent. Descriptiones fasciculorum includuntur nexus qui gratuitos falsitatum, donorum, ludi fraudum promiserunt, nec non gratuita officia ad sectatores augendos et similia in retia socialia sicut TikTok et Instagram. Non est primus talis impetus, mense Decembri, publicatio 144 mille fasciculorum in NuGet, NPM et PyPi directoriis conscripta est.
Contenta fasciculorum automatice generatae sunt utentes script pythonis quae in fasciculis videntur imprudenter relicta et inclusa opera documentorum in oppugnatione adhibita. Fasciculi sub variis rationibus divulgati sunt utentes methodi quae difficilem trahentium explicabant et cito difficultates difficultates cognoscerent.
Praeter actiones dolosas, complures conatus ad fasciculos malignos edendos deprehensi sunt etiam in repositoriis NPM et PyPi;
- 451 fasciculi malitiosi in repositorio PyPI reperti sunt, qui figurati sunt in quibusdam bibliothecis popularibus utentes typosquatentes (similia nomina, quae singulis characteribus differunt, v. gr. loco vyper, bitcoinnlib pro bitcoinlib, cryptofeed pro cryptofeed, pro ccxtt. ccxt, cryptocommpare pro cryptocomparare, seleium pro selenium, pinstaller pro pyinstaller, etc.). Fasciculi inclusi codicem obfuscatam ob cryptocurrentiam furandi, quae praesentiam cryptae identitatis in clipboard deprehenderunt et eas in crumenam oppugnatoris mutavit (supponitur enim cum solutionem faciendam, victima non animadvertet numerum crumenam per clipboard translatam. differt). Substitutio facta est a navigatro addendi quod in contextu cuiusque paginae spectatae profertur.
- Series malignorum bibliothecarum HTTP in repositorio PyPI notata est. Actio malitiosa inventa est in fasciculis 41, quarum nomina selectae sunt utentes rationes figurarum et similes bibliothecarum popularium (aio5, requestst, ulrlib, urllb, libhttps, pittacia, httpxv2, etc.). Inpensa appellata est ad similitudinem librorum bibliothecarum HTTP vel bibliothecarum exsistentium exscriptorum, et descriptio quae de beneficiis et comparationibus cum legitimis HTTP bibliothecis continetur. Actio malitiosa constabat vel malware in systema detrahendo vel notitias sensitivas colligendas et mittendas.
- NPM idem 16 JavaScript fasciculi (speedte*, trova*, lagra), quae, praeter modum functionis statae (perput testing), etiam codicem continebant ad cryptocurrentiam mining sine cognitione usoris.
- Sexcentae nonaginta unae sarcinae malignae in NPM detectae sunt. Pleraque sarcinae problematicae imitabantur proiecta Yandex (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, etc.) et continebant codicem ad informationes secretas ad servientes externos mittendas. serviCreditur eos qui fasciculos emiserunt proprias dependentias substituere conatos esse cum proiecta in Yandex aedificarent (methodus substituendi dependentias internas). In repositorio PyPI, iidem investigatores invenerunt 49 fasciculos (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, etc.) continentes codicem malitiosum obscuratum qui fasciculum executabilem ex servo externo detrahit et currit. server.
Source: opennet.ru
