Weerar lagu qaaday isticmaaleyaasha tusaha NPM ayaa la duubay, taas oo keentay in 20-kii Febraayo, in ka badan 15 kun oo baakadood la dhigay kaydka NPM, ee ku jira faylalka README kuwaas oo ay ku xidhan yihiin goobaha phishing-ka ama xidhiidhada gudbinta kuwaaso royalty ayaa la bixiyay. Falanqaynta xirmooyinku waxay daaha ka qaadeen 190 xayaysiis gaar ah ama xiriirin xayeysiis ah oo daboolaya 31 goobood.
Magacyada xirmooyinka ayaa loo doortay si ay u soo jiitaan xiisaha qofka caadiga ah, tusaale ahaan, "free-tiktok-followers" "free-xbox-codes", "instagram-followers-free", iwm. Xisaabinta waxaa loo sameeyay in lagu buuxiyo liiska cusboonaysiinta cusub ee bogga NPM ee ugu weyn oo leh xirmooyin spam ah. Sharaxaadaha xirmooyinka waxaa ka mid ahaa xiriiriyayaal u ballan qaaday hadiyado bilaash ah, hadiyado, khiyaamo ciyaarta, iyo adeegyo bilaash ah si loogu helo kuwa raacsan iyo kuwa jecel shabakadaha bulshada sida TikTok iyo Instagram. Kani maaha weerarkii ugu horeeyay ee noocan oo kale ah; Bishii Disembar, 144 kun oo xirmo spam ah ayaa lagu daabacay NuGet, NPM iyo PyPi hagaha.
Waxyaabaha ku jira baakadaha ayaa si toos ah loo soo saaray iyadoo la isticmaalayo qoraal python ah, kaas oo sida muuqata looga tagay xirmooyinka kormeerka oo ay ku jiraan shahaadooyinka shaqada ee loo adeegsaday weerarka. Xirmooyinka waxaa lagu daabacay xisaabaadyo kala duwan oo kala duwan iyadoo la adeegsanayo habab adkeynaya in la furo raadraaca oo si degdeg ah loo aqoonsado xirmooyinka dhibaatada leh.
Dhaqdhaqaaqyada khiyaanada ka sokow, isku dayo dhowr ah oo lagu daabacayay xirmooyin xaasidnimo ah ayaa sidoo kale lagu aqoonsaday meelaha NPM iyo PyPi:
- 451 xirmo xaasidnimo ah ayaa laga helay bakhaarka PyPI, kuwaas oo loo ekeysiiyay qaar ka mid ah maktabadaha caanka ah ee isticmaala noocyada kala duwan (oo loo qoondeeyay magacyo isku mid ah oo ku kala duwan jilayaasha gaarka ah, tusaale ahaan, vper halkii vyper, bitcoinnlib halkii bitcoinlib, ccryptofeed halkii cryptofeed, ccxtt halkii laga heli lahaa ccxt, cryptocommpare beddelkii cryptocompare, seleium beddelkii selenium, pinstaller beddelkii pyinstaller, iwm). Xirmooyinka waxaa ka mid ahaa koodhka qarsoon ee lagu xado lacagta loo yaqaan 'cryptocurrencies', kaas oo go'aamiyay joogitaanka aqoonsiga crypto-wallet ee sanduuqa oo u beddelay jeebka weerarka (waxaa loo maleynayaa in marka lacag bixinta, dhibbanuhu uusan ogaan doonin in lambarka boorsada lagu wareejiyay iyada oo loo marayo sabuuraddii waa ka duwan tahay). Beddelka waxaa sameeyay browserka lagu daro kaas oo lagu sameeyay macnaha guud ee bog kasta oo la daawado.
- Taxane maktabado HTTP xaasidnimo leh ayaa lagu aqoonsaday kaydka PyPI. Dhaqdhaqaaq xaasidnimo ah ayaa laga helay 41 baakadood oo magacyadooda lagu doortay iyadoo la adeegsanayo hababka cabbiraadda oo la mid ah maktabado caan ah (aio5, requestst, ulrlib, urlb, libhttps, piphttps, httpxv2, iwm.). Walxahaasi waxa loo qaabeeyey inay u ekaadaan sidii maktabado HTTP ah oo shaqaynaya ama kood laga soo guuriyay maktabadaha jira, iyo sifaynta waxay samaysay sheegasho ku saabsan faa'iidooyinka iyo isbarbardhigga maktabadaha HTTP ee sharciga ah. Dhaqdhaqaaqa xaasidnimada ah wuxuu ku koobnaa in lagu soo dejiyo malware-ka nidaamka ama ururinta iyo dirida xogta xasaasiga ah.
- NPM aqoonsaday 16 JavaScript xirmo (speedte *, trova *, lagra), kaas oo, marka lagu daro shaqeynta lagu dhawaaqay (tijaabin), sidoo kale ka kooban code for cryptocurrency macdanta iyada oo aan la aqoon user ee.
- NPM waxay aqoonsatay 691 xirmo xaasidnimo ah. Badi xirmooyinka dhibka leh ayaa iska dhigaya mashruucyada Yandex (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, iwm.) oo ay ku jiraan kood loogu diro macluumaadka sirta ah server-yada dibadda. Waxaa loo maleynayaa in kuwa dhigay baakadaha ay isku dayeen in ay gaaraan beddelka ku tiirsanaanta u gaar ah marka ay dhisaan mashaariicda Yandex (habka beddelka ku-tiirsanaanta gudaha). Kaydka PyPI, isla cilmi-baarayaashu waxay heleen 49 xirmo (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, iwm.) oo leh kood xaasidnimo ah oo qarsoodi ah kaas oo soo dejinaya oo bilaabaya fayl la fulin karo oo ka yimid server-ka dibadda.
Source: opennet.ru