Užfiksuota ataka prieš NPM katalogo vartotojus, dėl kurios vasario 20 d. NPM saugykloje buvo patalpinta daugiau nei 15 tūkstančių paketų, kurių README failuose buvo nuorodos į sukčiavimo svetaines arba nukreipimo nuorodos į paspaudimus, už kuriuos mokamas honoraras. yra mokami. Analizės metu paketuose buvo nustatyta 190 unikalių sukčiavimo ar reklamos nuorodų, apimančių 31 domeną.
Paketų pavadinimai buvo parinkti taip, kad sudomintų paprasti žmonės, pavyzdžiui, „nemokami-tiktok-sekėjai“, „nemokami-xbox-kodai“, „be instagramo sekėjų“ ir kt. Skaičiavimas buvo atliktas siekiant užpildyti naujausių atnaujinimų sąrašą NPM pagrindiniame puslapyje šiukšlių paketais. Paketų aprašymuose buvo nuorodos, kuriose žadama nemokamos dovanos, dovanos, žaidimų cheats, taip pat nemokamos paslaugos, skirtos didinti sekėjų ir simpatijų skaičių socialiniuose tinkluose, tokiuose kaip „TikTok“ ir „Instagram“. Tai ne pirmas toks išpuolis, gruodį „NuGet“, „NPM“ ir „PyPi“ kataloguose užfiksuota 144 tūkstančių šiukšlių paketų publikacija.
Paketų turinys buvo automatiškai sugeneruotas naudojant python scenarijų, kuris, matyt, netyčia buvo paliktas paketuose ir apimantis atakoje naudotus darbo kredencialus. Paketai buvo paskelbti daugelyje skirtingų paskyrų, naudojant metodus, kurie apsunkino pėdsakų išpainiojimą ir probleminių paketų greitą atpažinimą.
Be apgaulingos veiklos, NPM ir PyPi saugyklose taip pat buvo aptikti keli bandymai paskelbti kenkėjiškus paketus:
- PyPI saugykloje buvo rastas 451 kenkėjiškas paketas, kuris apsimetė kai kuriomis populiariomis bibliotekomis, naudojančiomis typequatting (priskiriant panašius pavadinimus, kurie skiriasi atskirais simboliais, pvz., vper vietoj vyper, bitcoinnlib vietoj bitcoinlib, ccryptofeed vietoj cryptofeed, ccxtt vietoj ccxt, cryptocommpare vietoj cryptocompare, seleium vietoj seleno, pinstaller vietoj pyinstaller ir tt). Paketuose buvo užmaskuotas kriptovaliutos vagystės kodas, kuris aptiko kriptovaliutos identifikatorių iškarpinėje ir pakeitė juos į užpuoliko piniginę (manoma, kad mokėdamas auka nepastebės, kad piniginės numeris buvo perkeltas per mainų sritį yra kitoks). Pakeitimas buvo atliktas naudojant naršyklės priedą, kuris buvo vykdomas kiekvieno peržiūrėto tinklalapio kontekste.
- PyPI saugykloje aptikta daugybė kenkėjiškų HTTP bibliotekų. Kenkėjiška veikla aptikta 41 pakete, kurių pavadinimai buvo parinkti naudojant typequatting metodus ir primena populiarias bibliotekas (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2 ir kt.). Įdaras buvo sukurtas taip, kad būtų panašus į veikiančias HTTP bibliotekas arba nukopijuotas esamų bibliotekų kodas, o aprašyme buvo pateikti teiginiai apie naudą ir palyginimai su teisėtomis HTTP bibliotekomis. Kenkėjiška veikla apėmė kenkėjiškų programų atsisiuntimą į sistemą arba neskelbtinų duomenų rinkimą ir siuntimą.
- NPM nustatė 16 „JavaScript“ paketų (speedte*, trova*, lagra), kuriuose, be nurodyto funkcionalumo (našumo testavimo), taip pat buvo kodas, skirtas kriptovaliutos kasimui be vartotojo žinios.
- NPM nustatė 691 kenkėjišką paketą. Dauguma probleminių paketų apsimetė Yandex projektais (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms ir kt.) ir įtraukė kodą, skirtą konfidencialiam informacijos siuntimui į išorinius serverius. Daroma prielaida, kad paketus paskelbę asmenys, rinkdami projektus „Yandex“ (vidinių priklausomybių pakeitimo metodas), bandė pakeisti savo priklausomybę. PyPI saugykloje tie patys tyrėjai rado 49 paketus (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp ir kt.) su užmaskuotu kenkėjišku kodu, kuris atsisiunčia ir paleidžia vykdomąjį failą iš išorinio serverio.
Šaltinis: opennet.ru