NPM လမ်းညွှန်အသုံးပြုသူများ၏တိုက်ခိုက်မှုကို မှတ်တမ်းတင်ခဲ့ပြီး ရလဒ်အနေဖြင့် ဖေဖော်ဝါရီလ 20 ရက်နေ့တွင် ပက်ကေ့ဂျ်ပေါင်း 15 ကျော်ကို NPM repository သို့ ပို့စ်တင်ခဲ့ပြီး၊ README ဖိုင်များတွင် ခိုးယူခြင်းဆိုက်များသို့ လင့်ခ်များ သို့မဟုတ် အခကြေးငွေပေးဆောင်ရသည့် ကလစ်များအတွက် လွှဲပြောင်းပေးသည့်လင့်ခ်များပါရှိသည်။ ခွဲခြမ်းစိတ်ဖြာမှုအတွင်း၊ ဒိုမိန်း 190 ခုပါဝင်သော ပက်ကေ့ဂျ်များတွင် ထူးခြားသော ဖြားယောင်းခြင်း သို့မဟုတ် ကြော်ငြာလင့်ခ် 31 ခု တွေ့ရှိခဲ့သည်။
ဥပမာအားဖြင့် "free-tiktok-followers", "free-xbox-codes", "instagram-followers-free" စသည်တို့ကို သာမန်လူများ၏ စိတ်ဝင်စားမှုကို ဆွဲဆောင်ရန် ပက်ကေ့ဂျ်များ၏ အမည်များကို ရွေးချယ်ထားပါသည်။ NPM ၏ ပင်မစာမျက်နှာရှိ မကြာသေးမီက အပ်ဒိတ်စာရင်းကို စပမ်းပက်ကေ့ဂျ်များဖြင့် ဖြည့်ရန် တွက်ချက်ထားပါသည်။ အခမဲ့ပေးဝေမှုများ၊ လက်ဆောင်များ၊ ဂိမ်းအလိမ်အညာများအပြင် TikTok နှင့် Instagram ကဲ့သို့သော လူမှုကွန်ရက်များတွင် စာရင်းသွင်းသူများနှင့် လိုက်ခ်များကို မြှင့်တင်ရန်အတွက် အခမဲ့ဝန်ဆောင်မှုများပေးသည့် ပက်ကေ့ဂျ်များ၏ ဖော်ပြချက်။ ဤတိုက်ခိုက်မှုသည် ပထမဆုံးမဟုတ်ပေ။ ဒီဇင်ဘာလတွင်၊ NuGet၊ NPM နှင့် PyPi လမ်းညွှန်များတွင် စပမ်းပက်ကေ့ခ်ျ ၁၄၄ဝဝဝ ထုတ်ဝေခဲ့သည်။
ပက်ကေ့ဂျ်များ၏ အကြောင်းအရာများကို ပက်ကေ့ဂျ်များတွင် အမှတ်မထင်ထားခဲ့ပုံရပြီး တိုက်ခိုက်မှုတွင် အသုံးပြုသည့် လုပ်ဆောင်နေသော အထောက်အထားများပါ၀င်သည့် python script ကို အသုံးပြု၍ အထုပ်များ၏ အကြောင်းအရာများကို အလိုအလျောက်ထုတ်ပေးပါသည်။ ပက်ကေ့ဂျ်များကို လမ်းကြောင်းများကို ရှင်းထုတ်ရန် ခက်ခဲစေပြီး ပြဿနာရှိသော ပက်ကေ့ဂျ်များကို လျင်မြန်စွာ ရှာဖွေဖော်ထုတ်ရန် ခက်ခဲစေသည့် နည်းပညာများကို အသုံးပြုကာ မတူညီသော အကောင့်များစွာအောက်တွင် ထုတ်ဝေခဲ့သည်။
မသမာသော လုပ်ဆောင်ချက်အပြင်၊ အန္တရာယ်ရှိသော ပက်ကေ့ဂျ်များကို ထုတ်ဝေရန် ကြိုးပမ်းမှုများစွာကိုလည်း NPM နှင့် PyPi သိုလှောင်နေရာများတွင် တွေ့ရှိခဲ့သည်-
- typosquatting ကို အသုံးပြု၍ လူကြိုက်များသော စာကြည့်တိုက်များအဖြစ် အသွင်ယူထားသော PyPI သိုလှောင်မှုတွင် အန္တရာယ်ရှိသော ပက်ကေ့ဂျ် 451 ခုကို တွေ့ရှိခဲ့သည် (ဇာတ်ကောင်တစ်ဦးချင်းစီတွင် ကွဲပြားသောအလားတူအမည်များကို သတ်မှတ်ပေးခြင်း ဥပမာ၊ vper အစား vyper အစား bitcoinnlib၊ bitcoinlib အစား cryptofeed၊ cryptofeed အစား ccryptofeed၊ ccxt အစား cryptopare အစား cxt pyinstaller အစား pinstaller စသည်ဖြင့်)။ ပက်ကေ့ဂျ်များတွင် ကလစ်ဘုတ်ရှိ crypto ပိုက်ဆံအိတ် identifiers များ ရှိနေကြောင်း တွေ့ရှိပြီး ၎င်းတို့ကို တိုက်ခိုက်သူ၏ ပိုက်ဆံအိတ်ဖြင့် အစားထိုးသည့် cryptocurrency ခိုးယူမှုအတွက် ရှုပ်ထွေးနေသော ကုဒ်များ ပါ၀င်သည် (ငွေပေးချေသည့်အခါ ကလစ်ဘုတ်မှတစ်ဆင့် လွှဲပြောင်းထားသော ပိုက်ဆံအိတ်နံပါတ်သည် ကွဲပြားသည်ကို သတိပြုမိမည်မဟုတ်)။ ကြည့်ရှုထားသည့် ဝဘ်စာမျက်နှာတစ်ခုစီ၏ ဆက်စပ်မှုတွင် ထည့်သွင်းထားသော ဘရောက်ဆာ အပိုပရိုဂရမ်တစ်ခုဖြင့် အစားထိုးခြင်းကို လုပ်ဆောင်ခဲ့သည်။
- PyPI repository တွင် အန္တရာယ်ရှိသော HTTP စာကြည့်တိုက်များ စီးရီးများကို ဖော်ထုတ်ထားသည်။ typosquatting နည်းလမ်းများကို အသုံးပြု၍ ရွေးချယ်ထားသော နာမည်များနှင့် လူကြိုက်များသော စာကြည့်တိုက်များ (aio41၊ requestst၊ ulrlib၊ urllb၊ libhttps၊ piphttps၊ httpxv5 အစရှိသည်) 2 ပက်ကေ့ဂျ်တွင် အန္တရာယ်ရှိသော လုပ်ဆောင်ချက်ကို တွေ့ရှိခဲ့သည်။ payload အား အလုပ်လုပ်သော HTTP စာကြည့်တိုက်များ သို့မဟုတ် ရှိပြီးသား စာကြည့်တိုက်များ၏ ကုဒ်ကို ကူးယူခြင်းအဖြစ် ပုံစံဆင်ထားပြီး ဖော်ပြချက်များတွင် တရားဝင် HTTP libraries များနှင့် နှိုင်းယှဉ်မှုများနှင့် အားသာချက်များနှင့် နှိုင်းယှဉ်မှုများအကြောင်း တောင်းဆိုချက်များ ပါဝင်သည်။ အန္တရာယ်ရှိသော လုပ်ဆောင်ချက်သည် စနစ်သို့ မဲလ်ဝဲကို ဒေါင်းလုဒ်လုပ်ခြင်း သို့မဟုတ် လျှို့ဝှက်အချက်အလက်များကို စုဆောင်းခြင်းနှင့် ပေးပို့ခြင်းတို့အတွက် ကန့်သတ်ထားသည်။
- NPM သည် ၎င်းတို့၏ဖော်ပြထားသော လုပ်ဆောင်နိုင်စွမ်း (bandwidth စမ်းသပ်ခြင်း) အပြင် သုံးစွဲသူ၏အသိပညာမရှိဘဲ cryptocurrency တူးဖော်ခြင်းအတွက် ကုဒ်ပါ၀င်သော JavaScript ပက်ကေ့ဂျ် ၁၆ ခု (speedte*၊ trova*၊ lagra) ကိုဖော်ထုတ်ခဲ့သည်။
- NPM တွင် အန္တရာယ်ရှိသော package ၆၉၁ ခုကို တွေ့ရှိခဲ့သည်။ ပြဿနာရှိသော package အများစုသည် Yandex ပရောဂျက်များ (yandex-logger-sentry၊ yandex-logger-qloud၊ yandex-sendsms စသည်) အယောင်ဆောင်ထားပြီး ပြင်ပဆာဗာများသို့ လျှို့ဝှက်အချက်အလက်များပေးပို့ရန် ကုဒ်ပါဝင်သည်။ ဆာဗာများpackage များကို တင်သူများသည် Yandex တွင် ပရောဂျက်များတည်ဆောက်သည့်အခါ ၎င်းတို့၏ကိုယ်ပိုင် dependencies များကို အစားထိုးရန် ကြိုးစားနေကြသည်ဟု ယုံကြည်ရသည် (internal dependencies များကို အစားထိုးသည့်နည်းလမ်း)။ PyPI repository တွင် သုတေသီများသည် ပြင်ပဆာဗာမှ executable ဖိုင်တစ်ခုကို download လုပ်ပြီး run သည့် obfuscated malicious code ပါရှိသော package ၄၉ ခု (reqsystem၊ httpxfaster၊ aio6၊ gorilla2၊ httpsos၊ pohttp စသည်) ကို တွေ့ရှိခဲ့သည်။ ဆာဗာ.
source: opennet.ru
