Serangan telah direkodkan ke atas pengguna direktori NPM, akibatnya pada 20 Februari, lebih daripada 15 ribu pakej telah diposkan dalam repositori NPM, fail README yang mengandungi pautan ke tapak pancingan data atau pautan rujukan untuk klik di mana royalti dibayar. Semasa analisis, 190 pautan pancingan data atau pengiklanan unik telah dikenal pasti dalam pakej, meliputi 31 domain.
Nama-nama pakej dipilih untuk menarik minat orang biasa, contohnya, "pengikut-tiktok-bebas", "kod-xbox-percuma", "bebas-pengikut-instagram", dll. Pengiraan dibuat untuk mengisi senarai kemas kini terkini di halaman utama NPM dengan pakej spam. Penerangan pakej termasuk pautan yang menjanjikan hadiah percuma, hadiah, penipuan permainan, serta perkhidmatan percuma untuk meningkatkan pengikut dan suka di rangkaian sosial seperti TikTok dan Instagram. Ini bukan serangan pertama sebegitu; pada bulan Disember, penerbitan 144 ribu pakej spam telah direkodkan dalam direktori NuGet, NPM dan PyPi.
Kandungan pakej dijana secara automatik menggunakan skrip python yang nampaknya secara tidak sengaja ditinggalkan dalam pakej dan termasuk bukti kelayakan kerja yang digunakan dalam serangan itu. Pakej tersebut diterbitkan di bawah banyak akaun berbeza menggunakan kaedah yang menyukarkan untuk menguraikan jejak dan mengenal pasti pakej bermasalah dengan cepat.
Selain aktiviti penipuan, beberapa percubaan untuk menerbitkan pakej berniat jahat juga dikesan dalam repositori NPM dan PyPi:
- 451 pakej berniat jahat ditemui dalam repositori PyPI, yang menyamar sebagai beberapa perpustakaan popular menggunakan typequatting (menetapkan nama serupa yang berbeza dalam aksara individu, contohnya, vper bukannya vyper, bitcoinnlib bukannya bitcoinlib, ccryptofeed bukannya cryptofeed, ccxtt dan bukannya ccxt, cryptocommpare bukannya cryptocompare, seleium sebaliknya selenium, pinstaller bukannya pyinstaller, dll.). Pakej tersebut termasuk kod yang dikelirukan untuk mencuri mata wang kripto, yang mengesan kehadiran pengecam dompet kripto dalam papan keratan dan menukarnya kepada dompet penyerang (diandaikan bahawa apabila membuat pembayaran, mangsa tidak akan menyedari bahawa nombor dompet dipindahkan melalui papan keratan adalah berbeza). Penggantian telah dilakukan oleh alat tambah penyemak imbas yang telah dilaksanakan dalam konteks setiap halaman web yang dilihat.
- Satu siri perpustakaan HTTP berniat jahat telah dikenal pasti dalam repositori PyPI. Aktiviti hasad ditemui dalam 41 pakej, yang namanya dipilih menggunakan kaedah typequatting dan menyerupai perpustakaan popular (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2, dll.). Pemadat telah digayakan untuk menyerupai perpustakaan HTTP yang berfungsi atau menyalin kod perpustakaan sedia ada, dan penerangan termasuk tuntutan tentang faedah dan perbandingan dengan perpustakaan HTTP yang sah. Aktiviti berniat jahat terdiri daripada sama ada memuat turun perisian hasad ke sistem atau mengumpul dan menghantar data sensitif.
- NPM mengenal pasti 16 pakej JavaScript (speedte*, trova*, lagra), yang, sebagai tambahan kepada fungsi yang dinyatakan (ujian throughput), juga mengandungi kod untuk perlombongan mata wang kripto tanpa pengetahuan pengguna.
- NPM mengenal pasti 691 pakej berniat jahat. Kebanyakan pakej bermasalah berpura-pura sebagai projek Yandex (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, dll.) dan memasukkan kod untuk menghantar maklumat sulit ke pelayan luaran. Diandaikan bahawa mereka yang menyiarkan pakej cuba mencapai penggantian kebergantungan mereka sendiri apabila memasang projek dalam Yandex (kaedah menggantikan kebergantungan dalaman). Dalam repositori PyPI, penyelidik yang sama menemui 49 pakej (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, dll.) dengan kod berniat jahat yang dikaburkan yang memuat turun dan menjalankan fail boleh laku daripada pelayan luaran.
Sumber: opennet.ru