Tika fiksēts uzbrukums NPM direktorija lietotājiem, kā rezultātā 20. februārī NPM repozitorijā tika ievietoti vairāk nekā 15 tūkstoši pakotņu, kuru README failos bija saites uz pikšķerēšanas vietnēm vai novirzīšanas saites uz klikšķiem, uz kuriem jāmaksā autoratlīdzība. tiek apmaksātas. Analīzes laikā pakotnēs tika identificētas 190 unikālas pikšķerēšanas vai reklāmas saites, kas aptver 31 domēnu.
Paciņu nosaukumi izvēlēti tā, lai piesaistītu parasto cilvēku interesi, piemēram, “free-tiktok-followers”, “free-xbox-codes”, “instagram-followers-free” u.c. Aprēķins tika veikts, lai aizpildītu jaunāko atjauninājumu sarakstu NPM galvenajā lapā ar surogātpasta pakotnēm. Pakešu aprakstos bija iekļautas saites, kas solīja bezmaksas dāvanas, dāvanas, spēļu krāpniekus, kā arī bezmaksas pakalpojumus sekotāju un simpātiju palielināšanai sociālajos tīklos, piemēram, TikTok un Instagram. Šis nav pirmais šāds uzbrukums, decembrī NuGet, NPM un PyPi direktorijās fiksēta 144 tūkstošu surogātpasta paku publikācija.
Pakešu saturs tika automātiski ģenerēts, izmantojot python skriptu, kas acīmredzot netīšām tika atstāts pakotnēs un ietvēra uzbrukumā izmantotos darba akreditācijas datus. Pakas tika publicētas daudzos dažādos kontos, izmantojot metodes, kas apgrūtināja takas atšķetināšanu un problemātisko paku ātru identificēšanu.
Papildus krāpnieciskām darbībām NPM un PyPi krātuvēs tika konstatēti arī vairāki mēģinājumi publicēt ļaunprātīgas pakotnes:
- PyPI repozitorijā tika atrasta 451 ļaunprātīga pakotne, kas maskējās kā dažas populāras bibliotēkas, izmantojot typequatting (piešķirot līdzīgus nosaukumus, kas atšķiras pēc atsevišķām rakstzīmēm, piemēram, vper, nevis vyper, bitcoinnlib, nevis bitcoinlib, ccryptofeed, nevis kriptofeed, ccxtt vietā ccxt, cryptocommpare, nevis cryptocompare, seleium, nevis selēns, pinstaller pyinstaller vietā utt.). Paketēs bija apslēpts kriptovalūtas nozagšanas kods, kas starpliktuvē konstatēja kriptovalūtas maka identifikatoru klātbūtni un nomainīja tos uz uzbrucēja maku (tiek pieņemts, ka, veicot maksājumu, cietušais nepamanīs, ka maka numurs tika pārsūtīts caur starpliktuvi ir savādāka). Aizstāšanu veica pārlūkprogrammas papildinājums, kas tika izpildīts katras skatītās tīmekļa lapas kontekstā.
- PyPI repozitorijā ir identificēta virkne ļaunprātīgu HTTP bibliotēku. Ļaunprātīga darbība tika konstatēta 41 pakotnē, kuru nosaukumi tika atlasīti, izmantojot typequatting metodes un atgādināja populāras bibliotēkas (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2 utt.). Pildījums tika veidots tā, lai tas atgādinātu strādājošas HTTP bibliotēkas vai kopētu esošo bibliotēku kodus, un aprakstā bija ietverti apgalvojumi par priekšrocībām un salīdzinājumi ar likumīgām HTTP bibliotēkām. Ļaunprātīga darbība ietvēra ļaunprātīgas programmatūras lejupielādi sistēmā vai sensitīvu datu apkopošanu un nosūtīšanu.
- NPM identificēja 16 JavaScript pakotnes (speedte*, trova*, lagra), kas papildus norādītajai funkcionalitātei (caurlaidspējas pārbaude) saturēja arī kodu kriptovalūtas ieguvei bez lietotāja ziņas.
- NPM identificēja 691 ļaunprātīgu pakotni. Lielākā daļa problemātisko pakotņu izlikās par Yandex projektiem (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms utt.) un ietvēra kodu konfidenciālas informācijas nosūtīšanai uz ārējiem serveriem. Tiek pieņemts, ka tie, kas ievietoja paketes, mēģināja panākt savas atkarības aizstāšanu, apkopojot projektus Yandex (iekšējo atkarību aizstāšanas metode). PyPI repozitorijā tie paši pētnieki atrada 49 pakotnes (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp u.c.) ar apslēptu kaitīgo kodu, kas lejupielādē un palaiž izpildāmo failu no ārēja servera.
Avots: opennet.ru