Det ble registrert et angrep på brukere av NPM-katalogen, som et resultat av dette den 20. februar ble det lagt ut mer enn 15 tusen pakker i NPM-depotet, hvis README-filer inneholdt lenker til phishing-nettsteder eller henvisningslenker for klikk på hvilke royalties er betalt. Under analysen ble 190 unike phishing- eller reklamelenker identifisert i pakkene, som dekker 31 domener.
Navnene på pakkene ble valgt for å tiltrekke interessen til vanlige mennesker, for eksempel "gratis-tiktok-følgere", "gratis-xbox-koder", "instagram-følgere-gratis", etc. Beregningen ble gjort for å fylle listen over siste oppdateringer på NPMs hovedside med spampakker. Beskrivelsene av pakkene inkluderte lenker som lovet gratis giveaways, gaver, spilljuksere, samt gratistjenester for å øke følgere og likes på sosiale nettverk som TikTok og Instagram. Dette er ikke det første slike angrep; i desember ble publiseringen av 144 tusen spampakker registrert i NuGet, NPM og PyPi-katalogene.
Innholdet i pakkene ble automatisk generert ved hjelp av et python-skript som tilsynelatende utilsiktet ble liggende i pakkene og inkluderte arbeidslegitimasjonen som ble brukt i angrepet. Pakkene ble publisert under mange forskjellige kontoer ved hjelp av metoder som gjorde det vanskelig å løse opp stien og raskt identifisere problematiske pakker.
I tillegg til uredelige aktiviteter, ble det også oppdaget flere forsøk på å publisere skadelige pakker i NPM- og PyPi-lagrene:
- 451 ondsinnede pakker ble funnet i PyPI-depotet, som forkledde seg som noen populære biblioteker som bruker typequatting (tildeler lignende navn som er forskjellige i individuelle tegn, for eksempel vper i stedet for vyper, bitcoinnlib i stedet for bitcoinlib, ccryptofeed i stedet for cryptofeed, ccxtt i stedet for ccxt, cryptocommpare i stedet for cryptocompare, seleium i stedet for selen, pinstaller i stedet for pyinstaller, etc.). Pakkene inkluderte obfuskert kode for å stjele kryptovaluta, som oppdaget tilstedeværelsen av kryptolommebokidentifikatorer i utklippstavlen og endret dem til angriperens lommebok (det antas at når du foretar en betaling, vil offeret ikke legge merke til at lommeboknummeret ble overført gjennom utklippstavlen er annerledes). Erstatningen ble utført av et nettlesertillegg som ble utført i sammenheng med hver nettside som ble vist.
- En serie ondsinnede HTTP-biblioteker er identifisert i PyPI-depotet. Skadelig aktivitet ble funnet i 41 pakker, hvis navn ble valgt ved hjelp av typequatting-metoder og lignet populære biblioteker (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2, etc.). Fyllingen ble stilt for å ligne fungerende HTTP-biblioteker eller kopierte koden til eksisterende biblioteker, og beskrivelsen inkluderte påstander om fordelene og sammenligningene med legitime HTTP-biblioteker. Ondsinnet aktivitet besto av enten å laste ned skadelig programvare til systemet eller å samle inn og sende sensitive data.
- NPM identifiserte 16 JavaScript-pakker (speedte*, trova*, lagra), som i tillegg til den angitte funksjonaliteten (gjennomstrømningstesting), også inneholdt kode for utvinning av kryptovaluta uten brukerens viten.
- NPM identifiserte 691 ondsinnede pakker. De fleste av de problematiske pakkene utga seg for å være Yandex-prosjekter (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, etc.) og inkluderte kode for å sende konfidensiell informasjon til eksterne servere. Det antas at de som postet pakkene prøvde å erstatte sin egen avhengighet når de satte sammen prosjekter i Yandex (metode for å erstatte interne avhengigheter). I PyPI-depotet fant de samme forskerne 49 pakker (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, etc.) med skjult ondsinnet kode som laster ned og kjører en kjørbar fil fra en ekstern server.
Kilde: opennet.ru