Serangan ke atas pengguna direktori NPM telah dikesan. Pada 20 Februari, lebih 15 pakej telah ditambahkan pada repositori NPM. Fail README mereka mengandungi pautan ke tapak pancingan data atau pautan rujukan yang menjana royalti. Analisis pakej mendedahkan 190 pancingan data atau pautan pengiklanan yang unik, merangkumi 31 domain.
Nama pakej dipilih untuk menarik perhatian masyarakat umum, contohnya, "pengikut-tiktok-percuma," "kod-xbox-percuma," "bebas-pengikut-instagram," dan sebagainya. Hasratnya adalah untuk mengisi senarai kemas kini terkini di halaman utama NPM dengan pakej spam. Perihalan pakej termasuk pautan yang menjanjikan hadiah percuma, hadiah, penipuan permainan dan perkhidmatan percuma untuk meningkatkan pengikut dan suka pada platform media sosial seperti TikTok dan Instagram. Ini bukan serangan yang pertama; pada bulan Disember, 144 pakej spam telah diterbitkan dalam NuGet, NPM dan PyPi.
Kandungan pakej dijana secara automatik menggunakan skrip Python, nampaknya secara tidak sengaja ditinggalkan dalam pakej, dan termasuk kelayakan yang digunakan semasa serangan. Pakej tersebut diterbitkan di bawah berbilang akaun berbeza menggunakan teknik yang menyukarkan pengesanan dan mengenal pasti pakej bermasalah dengan cepat.
Selain aktiviti penipuan, beberapa percubaan untuk menerbitkan pakej berniat jahat juga telah dikesan dalam repositori NPM dan PyPi:
- 451 pakej berniat jahat ditemui dalam repositori PyPI yang menyamar sebagai perpustakaan popular menggunakan typosquatting (menetapkan nama yang serupa dengan aksara yang berbeza, seperti vper dan bukannya vyper, bitcoinnlib bukannya bitcoinlib, ccryptofeed bukannya cryptofeed, ccxtt bukannya ccxt, cryptocommpare dan bukannya cryptocompare, seleium dan lain-lain). Pakej tersebut termasuk kod mencuri mata wang kripto yang dikelirukan yang mengesan ID dompet crypto dalam papan keratan dan menggantikannya dengan dompet penyerang (ideanya ialah mangsa tidak akan melihat nombor dompet berbeza yang disalin daripada papan keratan semasa membuat pembayaran). Penggantian dilakukan oleh alat tambah penyemak imbas yang dijalankan dalam konteks setiap halaman web yang dilihat.
- Satu siri perpustakaan HTTP berniat jahat ditemui dalam repositori PyPI. Aktiviti hasad ditemui dalam 41 pakej, yang namanya dipilih menggunakan teknik typosquatting dan menyerupai perpustakaan popular (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2, dll.). Muatan telah digayakan untuk menyerupai perpustakaan HTTP yang berfungsi atau menyalin kod perpustakaan sedia ada, dan huraian mengandungi tuntutan tentang kelebihan dan perbandingannya dengan perpustakaan HTTP yang sah. Aktiviti berniat jahat itu terdiri daripada sama ada memuat turun perisian hasad ke sistem atau mengumpul dan menghantar data sulit.
- NPM didapati mengandungi 16 pakej JavaScript (speedte*, trova*, lagra) yang, sebagai tambahan kepada fungsi yang dinyatakan (ujian lebar jalur), juga mengandungi kod untuk perlombongan mata wang kripto tanpa pengetahuan pengguna.
- 691 pakej berniat jahat telah dikesan dalam NPM. Kebanyakan pakej bermasalah menyamar sebagai projek Yandex (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, dll.) dan menyertakan kod untuk menghantar maklumat sulit ke pelayan luaran. pelayanAdalah dipercayai bahawa mereka yang menyiarkan pakej tersebut cuba menggantikan kebergantungan mereka sendiri semasa membina projek dalam Yandex (kaedah menggantikan kebergantungan dalaman). Dalam repositori PyPI, penyelidik yang sama menemui 49 pakej (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, dll.) yang mengandungi kod berniat jahat yang dikaburkan yang memuat turun dan menjalankan fail boleh laku daripada pelayan luaran. pelayan.
Sumber: opennet.ru
