Një sulm u regjistrua ndaj përdoruesve të drejtorisë NPM, si rezultat i të cilit më 20 shkurt, më shumë se 15 mijë paketa u postuan në depon e NPM, skedarët README të të cilave përmbanin lidhje me faqet e phishing ose lidhje referimi për klikime mbi të cilat honorare paguhen. Gjatë analizës, në paketa u identifikuan 190 lidhje unike phishing ose reklamimi, që mbulojnë 31 domene.
Emrat e paketave u zgjodhën për të tërhequr interesin e njerëzve të zakonshëm, për shembull, "free-tiktok-followers", "free-xbox-codes", "instagram-followers-free", etj. Llogaritja është bërë për të mbushur listën e përditësimeve të fundit në faqen kryesore të NPM me paketa spam. Përshkrimet e paketave përfshinin lidhje që premtonin dhurata falas, dhurata, mashtrime lojërash, si dhe shërbime falas për rritjen e ndjekësve dhe pëlqimeve në rrjetet sociale si TikTok dhe Instagram. Ky nuk është sulmi i parë i tillë; në dhjetor, publikimi i 144 mijë paketave spam u regjistrua në drejtoritë NuGet, NPM dhe PyPi.
Përmbajtja e paketave u gjenerua automatikisht duke përdorur një skript python që me sa duket ishte lënë pa dashje në pako dhe përfshinte kredencialet e punës të përdorura në sulm. Paketat u publikuan në shumë llogari të ndryshme duke përdorur metoda që e bënë të vështirë zgjidhjen e gjurmëve dhe identifikimin e shpejtë të paketave problematike.
Përveç aktiviteteve mashtruese, disa përpjekje për të publikuar paketa me qëllim të keq u zbuluan gjithashtu në depot e NPM dhe PyPi:
- 451 pako me qëllim të keq u gjetën në depon e PyPI, të cilat u maskuan si disa biblioteka të njohura duke përdorur tipografi (duke caktuar emra të ngjashëm që ndryshojnë në karaktere individuale, për shembull, vper në vend të vyper, bitcoinnlib në vend të bitcoinlib, ccryptofeed në vend të cryptofeed, ccxtt në vend të ccxt, cryptocommpare në vend të cryptocompare, seleium në vend selenium, pinstaller në vend të pyinstaller, etj.). Paketat përfshinin kod të turbullt për vjedhjen e kriptomonedhës, i cili zbuloi praninë e identifikuesve të portofolit kripto në kujtesën dhe i ndryshoi ato në portofolin e sulmuesit (supozohet se kur kryen një pagesë, viktima nuk do të vërejë që numri i portofolit të transferuar përmes kujtesës eshte ndryshe). Zëvendësimi u krye nga një shtesë e shfletuesit që u ekzekutua në kontekstin e secilës faqe në internet të shikuar.
- Një seri bibliotekash keqdashëse HTTP janë identifikuar në depon e PyPI. Aktiviteti keqdashës u gjet në 41 paketa, emrat e të cilave u zgjodhën duke përdorur metodat e tipit quatting dhe u ngjanin bibliotekave të njohura (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2, etj.). Mbushja u stilua që t'i ngjante bibliotekave HTTP që funksionojnë ose kopjuan kodin e bibliotekave ekzistuese dhe përshkrimi përfshinte pretendime për përfitimet dhe krahasimet me bibliotekat legjitime HTTP. Aktiviteti keqdashës konsistonte ose në shkarkimin e malware në sistem ose në mbledhjen dhe dërgimin e të dhënave të ndjeshme.
- NPM identifikoi 16 paketa JavaScript (speedte*, trova*, lagra), të cilat, përveç funksionalitetit të deklaruar (testimi i xhiros), përmbanin edhe kodin për nxjerrjen e kriptomonedhës pa dijeninë e përdoruesit.
- NPM identifikoi 691 pako me qëllim të keq. Shumica e paketave problematike pretendonin të ishin projekte Yandex (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, etj.) dhe përfshinin kodin për dërgimin e informacionit konfidencial te serverët e jashtëm. Supozohet se ata që postuan paketat po përpiqeshin të arrinin zëvendësimin e varësisë së tyre gjatë montimit të projekteve në Yandex (metoda e zëvendësimit të varësive të brendshme). Në depon e PyPI, të njëjtët studiues gjetën 49 paketa (reqsystem, httpxfaster, ai6, gorilla2, httpsos, pohttp, etj.) me kod të turbullt keqdashës që shkarkon dhe ekzekuton një skedar të ekzekutueshëm nga një server i jashtëm.
Burimi: opennet.ru