NPM கோப்பகத்தின் பயனர்கள் மீது தாக்குதல் பதிவு செய்யப்பட்டது, இதன் விளைவாக பிப்ரவரி 20 அன்று, NPM களஞ்சியத்தில் 15 ஆயிரத்துக்கும் மேற்பட்ட தொகுப்புகள் இடுகையிடப்பட்டன, README கோப்புகளில் ஃபிஷிங் தளங்களுக்கான இணைப்புகள் அல்லது ராயல்டிகளின் கிளிக்குகளுக்கான பரிந்துரை இணைப்புகள் உள்ளன. செலுத்தப்படுகின்றன. பகுப்பாய்வின் போது, 190 டொமைன்களை உள்ளடக்கிய 31 தனித்துவமான ஃபிஷிங் அல்லது விளம்பர இணைப்புகள் தொகுப்புகளில் அடையாளம் காணப்பட்டன.
சாதாரண மக்களின் ஆர்வத்தை ஈர்க்கும் வகையில் தொகுப்புகளின் பெயர்கள் தேர்ந்தெடுக்கப்பட்டன, எடுத்துக்காட்டாக, "இலவச-டிக்டோக்-பின்தொடர்பவர்கள்", "இலவச-எக்ஸ்பாக்ஸ்-குறியீடுகள்", "இன்ஸ்டாகிராம்-பின்தொடர்பவர்கள்-இலவசம்" போன்றவை. NPM பிரதான பக்கத்தில் சமீபத்திய புதுப்பிப்புகளின் பட்டியலை ஸ்பேம் தொகுப்புகளுடன் நிரப்ப கணக்கீடு செய்யப்பட்டது. தொகுப்புகளின் விளக்கங்களில் இலவச பரிசுகள், பரிசுகள், கேம் ஏமாற்றுதல்கள் மற்றும் டிக்டோக் மற்றும் இன்ஸ்டாகிராம் போன்ற சமூக வலைப்பின்னல்களில் பின்தொடர்பவர்கள் மற்றும் விருப்பங்களை அதிகரிப்பதற்கான இலவச சேவைகள் போன்ற இணைப்புகள் உள்ளன. இது முதல் தாக்குதல் அல்ல; டிசம்பரில், 144 ஆயிரம் ஸ்பேம் தொகுப்புகளின் வெளியீடு NuGet, NPM மற்றும் PyPi கோப்பகங்களில் பதிவு செய்யப்பட்டது.
பேக்கேஜ்களின் உள்ளடக்கங்கள் தானாகவே பைதான் ஸ்கிரிப்டைப் பயன்படுத்தி உருவாக்கப்பட்டன, அது வெளிப்படையாகத் கவனக்குறைவாக தொகுப்புகளில் விடப்பட்டு, தாக்குதலில் பயன்படுத்தப்பட்ட பணிச் சான்றுகளையும் உள்ளடக்கியது. பேக்கேஜ்கள் பல்வேறு கணக்குகளின் கீழ் வெளியிடப்பட்ட முறைகளைப் பயன்படுத்தி, தடத்தை அவிழ்ப்பதை கடினமாக்கியது மற்றும் சிக்கலான தொகுப்புகளை விரைவாகக் கண்டறிகிறது.
மோசடி நடவடிக்கைகளுக்கு மேலதிகமாக, NPM மற்றும் PyPi களஞ்சியங்களில் தீங்கிழைக்கும் தொகுப்புகளை வெளியிடுவதற்கான பல முயற்சிகளும் கண்டறியப்பட்டன:
- 451 தீங்கிழைக்கும் தொகுப்புகள் PyPI களஞ்சியத்தில் காணப்பட்டன, அவை சில பிரபலமான நூலகங்களாக மாறுவேடமிட்டு டைப்ஸ்குவாட்டிங் (தனிப்பட்ட எழுத்துக்களில் வேறுபடும் ஒத்த பெயர்களை வழங்குதல், எடுத்துக்காட்டாக, vyper க்கு பதிலாக vper, bitcoinlib க்கு பதிலாக bitcoinnlib, cryptofeed க்கு பதிலாக ccryptofeed, ccxtt ccxt, Cryptocompare க்கு பதிலாக cryptocompare, செலினியம் பதிலாக seleium, pyinstaller பதிலாக pinstaller, முதலியன). தொகுப்புகளில் கிரிப்டோகரன்சியை திருடுவதற்கான குழப்பமான குறியீடு அடங்கும், இது கிளிப்போர்டில் கிரிப்டோ வாலட் அடையாளங்காட்டிகள் இருப்பதைக் கண்டறிந்து அவற்றை தாக்குபவர்களின் பணப்பையாக மாற்றியது (பணம் செலுத்தும் போது, கிளிப்போர்டு மூலம் பணப்பை எண் மாற்றப்படுவதை பாதிக்கப்பட்டவர் கவனிக்கமாட்டார் என்று கருதப்படுகிறது. வேறுபட்டது). பார்க்கப்படும் ஒவ்வொரு இணையப் பக்கத்தின் சூழலிலும் செயல்படுத்தப்படும் உலாவி துணை நிரலால் மாற்றீடு செய்யப்பட்டது.
- PyPI களஞ்சியத்தில் தீங்கிழைக்கும் HTTP நூலகங்களின் தொடர் அடையாளம் காணப்பட்டுள்ளது. 41 தொகுப்புகளில் தீங்கிழைக்கும் செயல்பாடு கண்டறியப்பட்டது, அவற்றின் பெயர்கள் தட்டச்சு முறைகளைப் பயன்படுத்தி தேர்ந்தெடுக்கப்பட்டன மற்றும் பிரபலமான நூலகங்களை ஒத்திருந்தன (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2, முதலியன). திணிப்பு வேலை செய்யும் HTTP நூலகங்களைப் போல வடிவமைக்கப்பட்டுள்ளது அல்லது ஏற்கனவே உள்ள நூலகங்களின் குறியீட்டை நகலெடுக்கிறது, மேலும் விளக்கத்தில் முறையான HTTP நூலகங்களுடனான நன்மைகள் மற்றும் ஒப்பீடுகள் பற்றிய கூற்றுகள் அடங்கும். தீங்கிழைக்கும் செயல்பாடு என்பது கணினியில் தீம்பொருளைப் பதிவிறக்குவது அல்லது முக்கியமான தரவைச் சேகரித்து அனுப்புவது.
- NPM 16 ஜாவாஸ்கிரிப்ட் தொகுப்புகளை (ஸ்பீட்*, ட்ரோவா*, லாக்ரா) அடையாளம் கண்டுள்ளது, இதில் கூறப்பட்ட செயல்பாட்டிற்கு (செயல்திறன் சோதனை) கூடுதலாக, பயனருக்குத் தெரியாமல் கிரிப்டோகரன்சியை சுரங்கப்படுத்துவதற்கான குறியீடும் உள்ளது.
- NPM 691 தீங்கிழைக்கும் தொகுப்புகளை அடையாளம் கண்டுள்ளது. சிக்கல் நிறைந்த தொகுப்புகளில் பெரும்பாலானவை யாண்டெக்ஸ் ப்ராஜெக்ட்கள் (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, முதலியன) மற்றும் வெளிப்புற சேவையகங்களுக்கு ரகசியத் தகவலை அனுப்புவதற்கான குறியீட்டை உள்ளடக்கியது. யாண்டெக்ஸில் (உள் சார்புகளை மாற்றியமைக்கும் முறை) திட்டங்களைச் சேகரிக்கும் போது தொகுப்புகளை இடுகையிட்டவர்கள் தங்கள் சொந்த சார்புநிலையை மாற்ற முயற்சித்ததாகக் கருதப்படுகிறது. PyPI களஞ்சியத்தில், அதே ஆராய்ச்சியாளர்கள் 49 தொகுப்புகளை (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, முதலியன) குழப்பமான தீங்கிழைக்கும் குறியீட்டைக் கண்டறிந்தனர், அவை வெளிப்புற சேவையகத்திலிருந்து இயங்கக்கூடிய கோப்பைப் பதிவிறக்கி இயக்குகின்றன.
ஆதாரம்: opennet.ru