Impetum in usoribus directorii NPM adnotatum est, cuius effectus die XX mensis Februarii plus quam XV milia sarcinarum in repositorio NPM missae sunt, cuius fasciculi README continebant nexus situs phishing vel deferre nexus pro clicks in quibus regalia. solvantur. In analysi, 20 nexus unice hamatae vel vendo notae sunt in fasciculis, 15 ditiones obtegentes.
Nomina fasciculorum electa sunt ad attrahendum commodum simplicium hominum, exempli gratia, "liberi-tiktok-sequentium", "liberorum xbox-coderum", "instagram-imatorum liberorum" etc. Calculus factus est ut indices recentium renovationum in NPM pagina principali cum fasciculis spam replerent. Descriptiones fasciculorum includuntur nexus qui gratuitos falsitatum, donorum, ludi fraudum promiserunt, nec non gratuita officia ad sectatores augendos et similia in retia socialia sicut TikTok et Instagram. Non est primus talis impetus, mense Decembri, publicatio 144 mille fasciculorum in NuGet, NPM et PyPi directoriis conscripta est.
Contenta fasciculorum automatice generatae sunt utentes script pythonis quae in fasciculis videntur imprudenter relicta et inclusa opera documentorum in oppugnatione adhibita. Fasciculi sub variis rationibus divulgati sunt utentes methodi quae difficilem trahentium explicabant et cito difficultates difficultates cognoscerent.
Praeter actiones dolosas, complures conatus ad fasciculos malignos edendos deprehensi sunt etiam in repositoriis NPM et PyPi;
- 451 fasciculi malitiosi in repositorio PyPI reperti sunt, qui figurati sunt in quibusdam bibliothecis popularibus utentes typosquatentes (similia nomina, quae singulis characteribus differunt, v. gr. loco vyper, bitcoinnlib pro bitcoinlib, cryptofeed pro cryptofeed, pro ccxtt. ccxt, cryptocommpare pro cryptocomparare, seleium pro selenium, pinstaller pro pyinstaller, etc.). Fasciculi inclusi codicem obfuscatam ob cryptocurrentiam furandi, quae praesentiam cryptae identitatis in clipboard deprehenderunt et eas in crumenam oppugnatoris mutavit (supponitur enim cum solutionem faciendam, victima non animadvertet numerum crumenam per clipboard translatam. differt). Substitutio facta est a navigatro addendi quod in contextu cuiusque paginae spectatae profertur.
- Series malignorum bibliothecarum HTTP in repositorio PyPI notata est. Actio malitiosa inventa est in fasciculis 41, quarum nomina selectae sunt utentes rationes figurarum et similes bibliothecarum popularium (aio5, requestst, ulrlib, urllb, libhttps, pittacia, httpxv2, etc.). Inpensa appellata est ad similitudinem librorum bibliothecarum HTTP vel bibliothecarum exsistentium exscriptorum, et descriptio quae de beneficiis et comparationibus cum legitimis HTTP bibliothecis continetur. Actio malitiosa constabat vel malware in systema detrahendo vel notitias sensitivas colligendas et mittendas.
- NPM idem 16 JavaScript fasciculi (speedte*, trova*, lagra), quae, praeter modum functionis statae (perput testing), etiam codicem continebant ad cryptocurrentiam mining sine cognitione usoris.
- NPM identified 691 fasciculis malignis. Pleraque sarcinarum problematicarum simulabat Yandex incepta esse (yandex-logger-sentire, yandex-logger-qloud, yandex-sendsms, etc.) et inclusa codice ad informationes secretiores ad exteras servientes mittendas. Ponitur eos, qui fasciculos collocaverunt, substitutionem suae dependentiae assequi conabantur cum incepta in Yandex convenirent (modum substituendi dependentiae internae). In repositorio PyPI, iidem inquisitores 49 fasciculos invenerunt (reqsystem, httpxfaster, aio6, gorillas2, httpsos, pohttp, etc.) cum malitioso codice obfuscato, qui downloads et lima exsecutabile ab externo servo fugit.
Source: opennet.ru