NPM лавлахын хэрэглэгчид рүү халдлага бүртгэгдсэн бөгөөд үүний үр дүнд 20-р сарын 15-нд NPM репозиторт 190 мянга гаруй багц байрлуулсан бөгөөд README файлууд нь фишинг сайтуудын холбоос эсвэл нөөц ашигласны төлбөр авах товших холбоосыг агуулсан байв. төлдөг. Шинжилгээний явцад багцуудаас 31 домэйныг хамарсан XNUMX өвөрмөц фишинг буюу зар сурталчилгааны холбоосыг илрүүлсэн.
Багцуудын нэрийг жирийн хүмүүсийн сонирхлыг татах үүднээс сонгосон, тухайлбал “үнэгүй-tiktok-дагагч”, “үнэгүй-xbox-код”, “instagram-дагагч-үнэгүй” гэх мэт. Тооцооллыг NPM үндсэн хуудсан дээрх сүүлийн үеийн шинэчлэлтүүдийн жагсаалтыг спам багцаар дүүргэхийн тулд хийсэн. Багцын тайлбарт үнэ төлбөргүй бэлэг өгөх, бэлэг өгөх, тоглоомын хууран мэхлэх амласан холбоосууд, мөн TikTok, Instagram зэрэг нийгмийн сүлжээн дэх дагагч, лайкыг нэмэгдүүлэх үнэгүй үйлчилгээнүүд багтсан байна. Энэ бол анхны ийм халдлага биш бөгөөд 144-р сард NuGet, NPM, PyPi лавлахуудад XNUMX мянган спам багц нийтлэгдсэн байна.
Багцуудын агуулгыг python скрипт ашиглан автоматаар үүсгэсэн бөгөөд энэ нь багц дотор санамсаргүйгээр орхигдсон бөгөөд халдлагад ашигласан ажлын үнэмлэхийг багтаасан байв. Багцуудыг олон янзын дансны дор хэвлэсэн бөгөөд энэ нь мөрийг тайлж, асуудалтай багцуудыг хурдан тодорхойлоход хэцүү болгосон.
Хууран мэхлэх үйлдлээс гадна NPM болон PyPi хадгалах газарт хортой багц нийтлэх хэд хэдэн оролдлого илэрсэн:
- PyPI репозитороос 451 хортой багц олдсон бөгөөд энэ нь typequatting (хувийн тэмдэгтээр ялгаатай ижил төстэй нэр өгөх, жишээлбэл, vyper-ийн оронд vper, bitcoinlib-ийн оронд bitcoinnlib, cryptofeed-ийн оронд ccryptofeed, ccxtt-ийн оронд ccxtt) ашиглан өөрсдийгөө алдартай номын сангийн дүрээр далдалсан XNUMX хортой багцыг илрүүлжээ. ccxt, cryptocompare-ийн оронд cryptocommpare, selenium-ийн оронд seleium, pyinstaller-ийн оронд pinstaller гэх мэт). Багцуудад криптовалют хулгайлах нууц код багтсан байсан бөгөөд энэ нь санах ойд крипто түрийвчний таниулбар байгаа эсэхийг илрүүлж, халдагчийн түрийвч болгон өөрчилсөн (төлбөр хийх үед хохирогч түрийвчний дугаарыг санах ойгоор дамжуулж байгааг анзаарахгүй гэж таамаглаж байна) өөр). Орлуулалтыг үзсэн вэб хуудас бүрийн контекст дээр гүйцэтгэсэн хөтөчийн нэмэлтээр гүйцэтгэсэн.
- PyPI репозитороос хэд хэдэн хортой HTTP сангуудыг илрүүлсэн. 41 багцаас хорлонтой үйл ажиллагаа илэрсэн бөгөөд тэдгээрийн нэрийг typequatting аргыг ашиглан сонгосон бөгөөд алдартай номын сангуудтай төстэй (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2 гэх мэт). Энэхүү чөмөг нь ажиллаж байгаа HTTP сангуудтай төстэй байхаар загварчилсан эсвэл одоо байгаа номын сангуудын кодыг хуулсан бөгөөд тайлбарт ашиг тусын тухай нэхэмжлэл, хууль ёсны HTTP сангуудтай харьцуулсан тайлбарыг оруулсан болно. Хортой үйл ажиллагаа нь систем рүү хортой програм татаж авах эсвэл нууц мэдээллийг цуглуулж илгээхээс бүрддэг.
- NPM нь 16 JavaScript багцыг (speedte*, trova*, lagra) тодорхойлсон бөгөөд тэдгээр нь заасан функцээс гадна (дамжуулах чадварын туршилт) хэрэглэгчийн мэдэлгүйгээр криптовалют олборлох кодыг агуулж байсан.
- NPM 691 хортой багцыг илрүүлсэн. Асуудалтай багцуудын ихэнх нь Yandex төсөл (yandex-logger-senry, yandex-logger-qloud, yandex-sendsms гэх мэт) мэт дүр эсгэж, гадаад сервер рүү нууц мэдээллийг илгээх кодыг оруулсан байна. Багцыг байршуулсан хүмүүс Yandex-д төслүүдийг угсрахдаа (дотоод хамаарлыг орлуулах арга) өөрсдийн хамаарлыг орлуулахыг оролдож байсан гэж таамаглаж байна. PyPI репозитороос ижил судлаачид гадаад серверээс гүйцэтгэх боломжтой файлыг татан авч ажиллуулдаг далд хортой код бүхий 49 багц (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp гэх мэт) олжээ.
Эх сурвалж: opennet.ru