విజ్ తన షాయ్-హులుద్ 2 వార్మ్ విశ్లేషణ ఫలితాలను ప్రచురించింది, ఇది 800 కంటే ఎక్కువ ప్యాకేజీల హానికరమైన విడుదలలను, మొత్తం 100 మిలియన్లకు పైగా డౌన్లోడ్లను NPM రిపోజిటరీకి ప్రచురించింది. సోకిన ప్యాకేజీని ఇన్స్టాల్ చేసిన తర్వాత, యాక్టివేట్ చేయబడిన వార్మ్ సున్నితమైన డేటా కోసం శోధిస్తుంది, కొత్త హానికరమైన విడుదలలను ప్రచురిస్తుంది (NPM డైరెక్టరీ కనెక్షన్ టోకెన్ను గుర్తించిన తర్వాత), మరియు GitHubలో కొత్త రిపోజిటరీలను సృష్టించడం ద్వారా సిస్టమ్లో కనిపించే సున్నితమైన డేటాను బహిరంగంగా యాక్సెస్ చేస్తుంది.
వార్మ్ ద్వారా అడ్డగించబడిన డేటాను కలిగి ఉన్న 30 కంటే ఎక్కువ రిపోజిటరీలను GitHubలో గుర్తించారు. ఈ రిపోజిటరీలలో దాదాపు 70% content.json ఫైల్ను కలిగి ఉన్నాయి, 50% truffleSecrets.json ఫైల్ను కలిగి ఉన్నాయి మరియు 80% environment.json ఫైల్ను కలిగి ఉన్నాయి, వీటిలో వార్మ్ను కలిగి ఉన్న హానికరమైన ప్యాకేజీని ఇన్స్టాల్ చేసిన డెవలపర్ సిస్టమ్లో కనిపించే యాక్సెస్ కీలు, సున్నితమైన డేటా మరియు ఎన్విరాన్మెంట్ వేరియబుల్స్ ఉన్నాయి. ఈ రిపోజిటరీలలో GitHub Actions అమలు పరిసరాలలో కనిపించే కీలను కలిగి ఉన్న సుమారు 400 actionsSecrets.json ఫైల్లు కూడా ఉన్నాయి.
contents.json ఫైల్లు GitHubకి కనెక్ట్ చేయడానికి 500 కంటే ఎక్కువ ప్రత్యేక ఆధారాలు మరియు టోకెన్లను కలిగి ఉన్నాయి. truffleSecrets.json ఫైల్లు రాజీపడిన సిస్టమ్లో TruffleHog యుటిలిటీని అమలు చేయడం ద్వారా కనుగొనబడిన సున్నితమైన డేటాను కలిగి ఉన్నాయి. ఈ యుటిలిటీ వివిధ సేవలు, క్లౌడ్ ఎన్విరాన్మెంట్లు, ఉత్పత్తులు మరియు డేటాబేస్ నిర్వహణ వ్యవస్థలలో ఉపయోగించే యాక్సెస్ కీలు, ఎన్క్రిప్షన్ కీలు, పాస్వర్డ్లు మరియు టోకెన్లతో సహా 800 కంటే ఎక్కువ రకాల డేటాను సేకరిస్తుంది. మొత్తంగా, truffleSecrets.jsonలో 400 కంటే ఎక్కువ ప్రత్యేక రికార్డులు కనుగొనబడ్డాయి, వీటిలో దాదాపు 2.5% (~10000) ధృవీకరించబడ్డాయి.
లీక్ అయిన గోప్య సమాచారం కొత్త దాడులకు ప్రారంభ బిందువుగా మారవచ్చని నమ్ముతారు, ఎందుకంటే చాలా డేటా చెల్లుబాటులో ఉంది. ఉదాహరణకు, వార్మ్ సోకిన సిస్టమ్ల నుండి సంగ్రహించబడిన 60% NPM యాక్సెస్ టోకెన్లు చెల్లుబాటులో ఉన్నాయని ఒక ఆడిట్ చూపించింది.
ఈ నివేదిక ప్రభావిత సిస్టమ్ల నుండి పర్యావరణ వేరియబుల్స్ విశ్లేషణ ఆధారంగా సాధారణ గణాంకాలను కూడా అందిస్తుంది. 23% వార్మ్ లాంచ్లు డెవలపర్ మెషీన్లపై జరిగాయి మరియు 77% నిరంతర ఇంటిగ్రేషన్ వాతావరణాలలో జరిగాయి (60% గిట్హబ్ యాక్షన్స్, 5% జెంకిన్స్, 5% గిట్ల్యాబ్ CI, 3% AWS కోడ్బిల్డ్). 87% సిస్టమ్లు ఉపయోగించబడ్డాయి Linux, 12% — macOS మరియు 1% - Windowsప్రయోగాలలో 76 శాతం కంటైనర్లలో, 13 శాతం ప్రధాన వ్యవస్థలలో జరిగాయి.
@postman/tunnel-agent-0.6.7 మరియు @asyncapi/specs-6.8.3 ప్యాకేజీల యొక్క హానికరమైన విడుదలల సంస్థాపన కారణంగా 60% ఇన్ఫెక్షన్లు సంభవించాయి. 99% కేసులలో, package.json యొక్క ప్రీఇన్స్టాల్ విభాగంలో పేర్కొన్న "node setup_bun.js" ఆదేశాన్ని అమలు చేయడం ద్వారా వార్మ్ సక్రియం చేయబడింది (మిగిలిన 1% పరీక్షా ప్రయత్నాల ఫలితంగా ఉండవచ్చు).
మూలం: opennet.ru
