Bol zaznamenaný útok na používateľov adresára NPM, v dôsledku čoho bolo 20. februára v úložisku NPM zverejnených viac ako 15 190 balíkov, ktorých súbory README obsahovali odkazy na phishingové stránky alebo sprostredkujúce odkazy na kliknutia, na ktoré sa licenčné poplatky sú platené. Počas analýzy bolo v balíkoch identifikovaných 31 unikátnych phishingových alebo reklamných odkazov pokrývajúcich XNUMX domén.
Názvy balíčkov boli vybrané tak, aby zaujali bežných ľudí, napríklad „free-tiktok-followers“, „free-xbox-codes“, „instagram-followers-free“ atď. Výpočet sa uskutočnil s cieľom vyplniť zoznam posledných aktualizácií na hlavnej stránke NPM spamovými balíčkami. Popisy balíčkov obsahovali odkazy, ktoré sľubovali bezplatné darčeky, darčeky, herné cheaty, ako aj bezplatné služby pre rastúcich sledovateľov a lajkov na sociálnych sieťach, ako sú TikTok a Instagram. Nejde o prvý takýto útok, v decembri bolo zaznamenané zverejnenie 144-tisíc spamových balíčkov v adresároch NuGet, NPM a PyPi.
Obsah balíkov bol automaticky generovaný pomocou python skriptu, ktorý bol zrejme neúmyselne ponechaný v balíkoch a obsahoval pracovné poverenia použité pri útoku. Balíky boli publikované pod mnohými rôznymi účtami pomocou metód, ktoré sťažovali rozmotanie stopy a rýchlu identifikáciu problematických balíkov.
Okrem podvodných aktivít bolo v úložiskách NPM a PyPi odhalených aj niekoľko pokusov o zverejnenie škodlivých balíkov:
- V úložisku PyPI sa našlo 451 škodlivých balíkov, ktoré sa maskovali ako niektoré populárne knižnice pomocou typequattingu (priraďovanie podobných názvov, ktoré sa líšia v jednotlivých znakoch, napríklad vper namiesto vyper, bitcoinnlib namiesto bitcoinlib, ccryptofeed namiesto cryptofeed, ccxtt namiesto ccxt, cryptocommpare namiesto cryptocompare, seleium namiesto selénu, pinstaller namiesto pyinstaller atď.). Balíky obsahovali zahmlený kód na krádež kryptomeny, ktorý zistil prítomnosť identifikátorov krypto peňaženky v schránke a zmenil ich na peňaženku útočníka (predpokladá sa, že pri platbe si obeť nevšimne, že číslo peňaženky prenesené cez schránku je iný). Nahradenie bolo vykonané doplnkom prehliadača, ktorý bol spustený v kontexte každej zobrazenej webovej stránky.
- V úložisku PyPI bola identifikovaná séria škodlivých HTTP knižníc. Škodlivá aktivita bola zistená v 41 balíkoch, ktorých názvy boli vybrané pomocou metód typequattingu a podobali sa populárnym knižniciam (aio5, requestt, ulrlib, urllb, libhttps, piphttps, httpxv2 atď.). Výplň bola navrhnutá tak, aby sa podobala fungujúcim HTTP knižniciam alebo kopírovala kód existujúcich knižníc a popis obsahoval tvrdenia o výhodách a porovnania s legitímnymi HTTP knižnicami. Škodlivá aktivita spočívala buď v sťahovaní škodlivého softvéru do systému, alebo v zhromažďovaní a odosielaní citlivých údajov.
- NPM identifikovalo 16 JavaScriptových balíkov (speedte*, trova*, lagra), ktoré okrem uvedenej funkcionality (testovanie priepustnosti) obsahovali aj kód na ťažbu kryptomeny bez vedomia užívateľa.
- NPM identifikoval 691 škodlivých balíkov. Väčšina problematických balíkov sa vydávala za projekty Yandex (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms atď.) a obsahovala kód na odosielanie dôverných informácií na externé servery. Predpokladá sa, že tí, ktorí posielali balíčky, sa pri zostavovaní projektov v Yandex (metóda nahradenia interných závislostí) pokúšali dosiahnuť nahradenie vlastnej závislosti. V úložisku PyPI tí istí výskumníci našli 49 balíkov (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, atď.) so zahmleným škodlivým kódom, ktorý sťahuje a spúšťa spustiteľný súbor z externého servera.
Zdroj: opennet.ru