En attack registrerades på användare av NPM-katalogen, vilket ledde till att den 20 februari publicerades mer än 15 tusen paket i NPM-förvaret, vars README-filer innehöll länkar till nätfiskewebbplatser eller hänvisningslänkar för klick på vilka royalties är betalad. Under analysen identifierades 190 unika nätfiske- eller reklamlänkar i paketen som täcker 31 domäner.
Namnen på paketen valdes för att locka vanliga människors intresse, till exempel "gratis-tiktok-följare", "gratis-xbox-koder", "instagram-följare-gratis", etc. Beräkningen gjordes för att fylla listan över de senaste uppdateringarna på NPM:s huvudsida med spampaket. Beskrivningarna av paketen inkluderade länkar som lovade gratis giveaways, presenter, spelfusk, samt gratistjänster för att öka antalet följare och likes på sociala nätverk som TikTok och Instagram. Detta är inte den första attacken av detta slag, i december registrerades publiceringen av 144 tusen skräppostpaket i NuGet, NPM och PyPi-katalogerna.
Innehållet i paketen genererades automatiskt med hjälp av ett python-skript som uppenbarligen oavsiktligt lämnades kvar i paketen och inkluderade arbetsuppgifterna som användes i attacken. Paketen publicerades under många olika konton med metoder som gjorde det svårt att reda ut spåret och snabbt identifiera problematiska paket.
Förutom bedrägliga aktiviteter upptäcktes även flera försök att publicera skadliga paket i NPM- och PyPi-förråden:
- 451 skadliga paket hittades i PyPI-förvaret, som förklädda sig till några populära bibliotek som använder typesquatting (tilldelar liknande namn som skiljer sig åt i individuella tecken, till exempel vper istället för vyper, bitcoinnlib istället för bitcoinlib, ccryptofeed istället för cryptofeed, ccxtt istället för ccxt, cryptocommpare istället för cryptocompare, seleium istället selen, pinstaller istället för pyinstaller, etc.). Paketen inkluderade obfuskerad kod för att stjäla kryptovaluta, som upptäckte förekomsten av kryptoplånboksidentifierare i urklippet och ändrade dem till angriparens plånbok (det antas att offret inte kommer att märka att plånboksnumret överförs via urklippet vid en betalning. är annorlunda). Ersättningen utfördes av ett webbläsartillägg som kördes i samband med varje webbsida som visas.
- En serie skadliga HTTP-bibliotek har identifierats i PyPI-förvaret. Skadlig aktivitet hittades i 41 paket, vars namn valdes ut med hjälp av typequatting-metoder och liknade populära bibliotek (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2, etc.). Fyllningen utformades för att likna fungerande HTTP-bibliotek eller kopierade koden för befintliga bibliotek, och beskrivningen inkluderade påståenden om fördelarna och jämförelser med legitima HTTP-bibliotek. Skadlig aktivitet bestod av att antingen ladda ner skadlig programvara till systemet eller att samla in och skicka känslig data.
- NPM identifierade 16 JavaScript-paket (speedte*, trova*, lagra), som förutom den angivna funktionaliteten (genomströmningstestning), även innehöll kod för att bryta kryptovaluta utan användarens vetskap.
- NPM identifierade 691 skadliga paket. De flesta av de problematiska paketen låtsades vara Yandex-projekt (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, etc.) och inkluderade kod för att skicka konfidentiell information till externa servrar. Det antas att de som postade paketen försökte ersätta sitt eget beroende när de satte ihop projekt i Yandex (metod för att ersätta interna beroenden). I PyPI-förvaret hittade samma forskare 49 paket (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, etc.) med obfuskerad skadlig kod som laddar ner och kör en körbar fil från en extern server.
Källa: opennet.ru