NPM лавлах хэрэглэгчид рүү халдлага илэрсэн. 2-р сарын 20-нд 15,000 гаруй багцыг NPM-ийн санд нэмсэн. Тэдний README файлууд нь фишинг сайтуудын холбоос эсвэл роялти үүсгэдэг лавлагаа холбоосуудыг агуулж байсан. Багцуудад дүн шинжилгээ хийхэд 31 домайныг хамарсан 190 өвөрмөц фишинг буюу зар сурталчилгааны холбоос илэрсэн байна.
Олон нийтийн анхаарлыг татахын тулд багцын нэрийг сонгосон, жишээлбэл, "free-tiktok-дагагч", "free-xbox-код", "instagram-дагагч-үнэгүй" гэх мэт. NPM нүүр хуудсан дээрх сүүлийн үеийн шинэчлэлтүүдийн жагсаалтыг спам багцаар дүүргэх зорилготой байсан. Багцын тайлбарт үнэгүй бэлэг өгөх, бэлэг өгөх, тоглоомын хууран мэхлэх, TikTok, Instagram зэрэг олон нийтийн мэдээллийн хэрэгслээр дамжуулан дагагч, лайк даралтыг нэмэгдүүлэх үнэгүй үйлчилгээ амласан холбоосууд багтсан болно. Энэ бол анхны ийм халдлага биш; 12-р сард NuGet, NPM, PyPi дээр 144,000 спам багц нийтлэгдсэн.
Багцын агуулгыг Python скрипт ашиглан автоматаар үүсгэсэн бөгөөд багц дотор санамсаргүй орхисон бололтой, халдлагын үед ашигласан итгэмжлэлүүдийг оруулсан байна. Багцуудыг олон янзын дансны дор нийтэлсэн бөгөөд энэ нь асуудалтай багцуудыг хянах, хурдан тодорхойлоход хэцүү болгодог арга техникийг ашиглан гаргасан.
Хууран мэхлэх үйлдлээс гадна NPM болон PyPi хадгалах газарт хортой багц нийтлэх хэд хэдэн оролдлого илэрсэн:
- PyPI репозитороос typosquatting (vyper-ийн оронд vper, bitcoinlib-ийн оронд bitcoinnlib, cryptofeed-ийн оронд ccryptofeed, ccxt-ийн оронд ccxtium, cryptocom-ын оронд cryptocom, гэх мэт өөр өөр тэмдэгт бүхий ижил төстэй нэр өгөх) ашиглан алдартай номын сангийн дүрд хувирсан 451 хортой багц олдсон. selenium, pyinstaller-ийн оронд pinstaller гэх мэт). Багцууд нь санах ойноос крипто түрийвчний ID-г илрүүлж, халдагчийн түрийвчээр сольсон (хохирогч төлбөр хийхдээ санах ойноос хуулсан түрийвчний өөр дугаарыг анзаарахгүй байх гэсэн санаа) криптовалют хулгайлах кодыг агуулсан байв. Орлуулалтыг үзсэн вэб хуудас бүрийн контекст дээр ажилладаг хөтчийн нэмэлтээр гүйцэтгэсэн.
- PyPI репозитороос хэд хэдэн хортой HTTP санг илрүүлсэн. 41 багцаас хорлонтой үйл ажиллагаа илэрсэн бөгөөд нэрийг нь үсгийн алдаа бичих аргыг ашиглан сонгосон бөгөөд алдартай номын сангуудтай төстэй (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2 гэх мэт). Ачаалал нь ажиллаж байгаа HTTP сангуудтай төстэй байхаар загварчилсан эсвэл одоо байгаа номын сангуудын кодыг хуулсан бөгөөд тайлбар нь тэдний давуу тал болон хууль ёсны HTTP сангуудтай харьцуулсан заргыг агуулсан байв. Хортой үйлдэл нь системд хортой програм татаж авах эсвэл нууц мэдээллийг цуглуулж илгээхээс бүрдсэн.
- NPM нь 16 JavaScript багц (speedte*, trova*, lagra) агуулж байгаа нь тогтоогдсон бөгөөд тэдгээр нь заасан функцээс гадна (зурвасын өргөнийг шалгах) хэрэглэгчийн мэдэлгүйгээр криптовалют олборлох кодыг агуулж байсан.
- NPM-д 691 хортой багц илэрсэн. Асуудалтай багцуудын ихэнх нь Yandex төслүүдийг (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms гэх мэт) дуурайсан бөгөөд нууц мэдээллийг гадны серверүүд рүү илгээх код агуулсан байв. серверүүдБагцуудыг байршуулсан хүмүүс Yandex дээр төслүүдийг бүтээхдээ өөрсдийн хамаарлуудыг орлуулахыг оролдож байсан гэж үздэг (дотоод хамаарлуудыг орлуулах арга). PyPI репозитороос мөн адил судлаачид гадаад серверээс гүйцэтгэгдэх файлыг татаж аваад ажиллуулдаг, бүдгэрүүлсэн хортой код агуулсан 49 багц (reqsystem, httpxfaster, aio6, gorilla2, httpssos, pohttp гэх мэт)-ийг олжээ. сервер.
Эх сурвалж: opennet.ru
