Serangan kacatet dina pangguna diréktori NPM, salaku hasilna dina 20 Pebruari, langkung ti 15 rébu bungkusan dipasang dina gudang NPM, file README anu ngandung tumbu ka situs phishing atanapi tautan rujukan pikeun klik anu royalti. anu dibayar. Salila analisa, 190 phishing unik atanapi tautan iklan diidentifikasi dina bungkusan, ngalangkungan 31 domain.
Ngaran-ngaran bungkusan dipilih pikeun narik minat jalma biasa, contona, "free-tiktok-followers", "free-xbox-codes", "instagram-followers-free", jsb. Itungan dijieun pikeun ngeusian daptar apdet panganyarna dina kaca utama NPM kalawan bungkusan spam. Katerangan ngeunaan bungkusan kalebet tautan anu ngajanjikeun hadiah gratis, hadiah, cheats kaulinan, ogé jasa gratis pikeun ningkatkeun pengikut sareng resep dina jaringan sosial sapertos TikTok sareng Instagram. Ieu sanés serangan sapertos anu munggaran; dina bulan Désémber, publikasi 144 rébu bungkusan spam kacatet dina diréktori NuGet, NPM sareng PyPi.
Eusi bungkusan sacara otomatis dibangkitkeun nganggo skrip python anu katingalina teu kahaja ditinggalkeun dina bungkusan sareng kalebet kredensial padamelan anu dianggo dina serangan éta. Bungkusan ieu diterbitkeun dina seueur akun anu béda-béda nganggo metode anu nyababkeun hésé ngabéréskeun jalan satapak sareng gancang ngaidentipikasi bungkusan anu bermasalah.
Salian kagiatan panipuan, sababaraha usaha pikeun nyebarkeun bungkusan jahat ogé dideteksi dina repositori NPM sareng PyPi:
- 451 bungkusan jahat kapanggih dina Repository PyPI, nu disguised sorangan salaku sababaraha perpustakaan populér maké typesquatting (assigning ngaran sarupa anu béda dina karakter individu, contona, vper tinimbang vyper, bitcoinnlib tinimbang bitcoinlib, ccryptofeed tinimbang cryptofeed, ccxtt tinimbang ccxt, cryptocommpare tinimbang cryptocompare, seleium gantina selenium, pinstaller tinimbang pyinstaller, jsb). Bungkusan kaasup kode obfuscated pikeun maok cryptocurrency, nu ngadeteksi ayana crypto dompét identifiers dina clipboard jeung ngarobahna kana dompét panyerang urang (ieu dianggap yén nalika nyieun pamayaran, korban moal aya bewara yén jumlah dompét ditransfer ngaliwatan clipboard. béda). Panggantian dilaksanakeun ku browser tambihan anu dieksekusi dina konteks unggal halaman wéb anu ditingali.
- Runtuyan perpustakaan HTTP jahat geus diidentifikasi dina gudang PyPI. Aktivitas jahat kapanggih dina 41 bungkusan, anu namina dipilih nganggo metode Typequatting sareng mirip perpustakaan populér (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2, jsb.). Isian ieu ditata kanggo nyarupaan perpustakaan HTTP anu damel atanapi nyalin kodeu perpustakaan anu tos aya, sareng katerangan kalebet klaim ngeunaan mangpaat sareng ngabandingkeun sareng perpustakaan HTTP anu sah. Aktivitas jahat diwangun ku ngaunduh malware kana sistem atanapi ngumpulkeun sareng ngirim data sénsitip.
- NPM dicirikeun 16 bungkusan JavaScript (speedte *, trova *, lagra), nu, sajaba pungsionalitas nyatakeun (uji throughput), ogé ngandung kode pikeun cryptocurrency pertambangan tanpa pangaweruh pamaké.
- NPM ngaidentipikasi 691 bungkusan jahat. Seuseueurna bungkusan anu bermasalah nyamar janten proyék Yandex (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, jsb) sareng kalebet kode pikeun ngirim inpormasi rahasia ka server éksternal. Dianggap yén jalma anu masangkeun bungkusan narékahan pikeun ngagentos katergantungan sorangan nalika ngarakit proyék-proyék dina Yandex (metode ngagentos katergantungan internal). Dina gudang PyPI, peneliti sarua kapanggih 49 bungkusan (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, jsb) kalawan kode jahat obfuscated nu ngundeur tur ngajalankeun hiji file laksana ti server éksternal.
sumber: opennet.ru