Zabeležen je bil napad na uporabnike imenika NPM, zaradi česar je bilo 20. februarja v repozitorij NPM objavljenih več kot 15 tisoč paketov, katerih datoteke README so vsebovale povezave do lažnih strani ali napotitvene povezave za klike na katere licenčnine. so plačani. Med analizo je bilo v paketih ugotovljenih 190 edinstvenih phishing ali oglaševalskih povezav, ki pokrivajo 31 domen.
Imena paketov so bila izbrana tako, da so pritegnila zanimanje navadnih ljudi, na primer »free-tiktok-followers«, »free-xbox-codes«, »instagram-followers-free« itd. Izračun je bil narejen za zapolnitev seznama nedavnih posodobitev na glavni strani NPM s paketi neželene pošte. Opisi paketov so vsebovali povezave, ki so obljubljale brezplačna darila, darila, goljufije v igrah, pa tudi brezplačne storitve za povečanje števila sledilcev in všečkov na družbenih omrežjih, kot sta TikTok in Instagram. To ni prvi tovrstni napad, decembra so v imenikih NuGet, NPM in PyPi zabeležili objavo 144 tisoč paketov neželene pošte.
Vsebina paketov je bila samodejno ustvarjena s skriptom python, ki je bil očitno nenamerno ostal v paketih in je vključeval delovne poverilnice, uporabljene v napadu. Paketi so bili objavljeni pod številnimi različnimi računi z metodami, ki so otežile razvozlavanje sledi in hitro prepoznavanje problematičnih paketov.
Poleg goljufivih dejavnosti je bilo v repozitorijih NPM in PyPi zaznanih tudi več poskusov objave zlonamernih paketov:
- V repozitoriju PyPI je bilo najdenih 451 zlonamernih paketov, ki so se z uporabo typequattinga (dodeljevanje podobnih imen, ki se razlikujejo po posameznih znakih, npr. vper namesto vyper, bitcoinnlib namesto bitcoinlib, ccryptofeed namesto cryptofeed, ccxtt namesto ccxt, cryptocommpare namesto cryptocompare, seleium namesto selenium, pinstaller namesto pyinstaller itd.). Paketi so vključevali zakrito kodo za krajo kriptovalute, ki je zaznala prisotnost identifikatorjev kripto denarnice v odložišču in jih spremenila v napadalčevo denarnico (predvideva se, da pri plačilu žrtev ne bo opazila, da je številka denarnice, prenesena skozi odložišče). je drugačen). Zamenjava je bila izvedena z dodatkom brskalnika, ki se je izvajal v kontekstu vsake ogledane spletne strani.
- V repozitoriju PyPI je bila odkrita vrsta zlonamernih knjižnic HTTP. Zlonamerna aktivnost je bila odkrita v 41 paketih, katerih imena so bila izbrana z metodami typequatting in so bila podobna priljubljenim knjižnicam (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2 itd.). Nadev je bil oblikovan tako, da je podoben delujočim knjižnicam HTTP ali kopiral kodo obstoječih knjižnic, opis pa je vključeval trditve o prednostih in primerjave z zakonitimi knjižnicami HTTP. Zlonamerna dejavnost je zajemala prenos zlonamerne programske opreme v sistem ali zbiranje in pošiljanje občutljivih podatkov.
- NPM je identificiral 16 JavaScript paketov (speedte*, trova*, lagra), ki so poleg navedene funkcionalnosti (testiranje prepustnosti) vsebovali tudi kodo za rudarjenje kriptovalut brez vednosti uporabnika.
- NPM je identificiral 691 zlonamernih paketov. Večina problematičnih paketov se je pretvarjala, da so Yandexovi projekti (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms itd.) in so vključevali kodo za pošiljanje zaupnih informacij zunanjim strežnikom. Domneva se, da so tisti, ki so objavili pakete, poskušali doseči zamenjavo lastne odvisnosti pri sestavljanju projektov v Yandexu (metoda zamenjave notranjih odvisnosti). V repozitoriju PyPI so isti raziskovalci našli 49 paketov (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp itd.) z zakrito zlonamerno kodo, ki prenese in zažene izvršljivo datoteko z zunanjega strežnika.
Vir: opennet.ru