NPM డైరెక్టరీ వినియోగదారులపై దాడి నమోదు చేయబడింది, దీని ఫలితంగా ఫిబ్రవరి 20న, NPM రిపోజిటరీలో 15 వేలకు పైగా ప్యాకేజీలు పోస్ట్ చేయబడ్డాయి, వీటిలో README ఫైల్లు ఫిషింగ్ సైట్లకు లింక్లు లేదా రాయల్టీలపై క్లిక్ల కోసం రిఫరల్ లింక్లను కలిగి ఉన్నాయి. చెల్లిస్తారు. విశ్లేషణ సమయంలో, 190 డొమైన్లను కవర్ చేసే ప్యాకేజీలలో 31 ప్రత్యేకమైన ఫిషింగ్ లేదా అడ్వర్టైజింగ్ లింక్లు గుర్తించబడ్డాయి.
ప్యాకేజీల పేర్లు సాధారణ ప్రజల ఆసక్తిని ఆకర్షించడానికి ఎంపిక చేయబడ్డాయి, ఉదాహరణకు, “ఉచిత-టిక్టాక్-అనుచరులు”, “ఉచిత-xbox-కోడ్లు”, “ఇన్స్టాగ్రామ్-అనుచరులు-ఉచితం” మొదలైనవి. NPM ప్రధాన పేజీలో ఇటీవలి నవీకరణల జాబితాను స్పామ్ ప్యాకేజీలతో పూరించడానికి గణన చేయబడింది. ప్యాకేజీల వివరణలలో ఉచిత బహుమతులు, బహుమతులు, గేమ్ చీట్లు, అలాగే టిక్టాక్ మరియు ఇన్స్టాగ్రామ్ వంటి సోషల్ నెట్వర్క్లలో ఫాలోవర్లు మరియు లైక్లను పెంచుకోవడానికి ఉచిత సేవలను వాగ్దానం చేసే లింక్లు ఉన్నాయి. ఇది మొదటి దాడి కాదు; డిసెంబర్లో, 144 వేల స్పామ్ ప్యాకేజీల ప్రచురణ NuGet, NPM మరియు PyPi డైరెక్టరీలలో రికార్డ్ చేయబడింది.
ప్యాకేజీలలోని కంటెంట్లు పైథాన్ స్క్రిప్ట్ని ఉపయోగించి స్వయంచాలకంగా రూపొందించబడ్డాయి, అది స్పష్టంగా ప్యాకేజీలలో అనుకోకుండా మిగిలిపోయింది మరియు దాడిలో ఉపయోగించిన పని ఆధారాలను కలిగి ఉంటుంది. ట్రయల్ని విడదీయడం మరియు సమస్యాత్మక ప్యాకేజీలను త్వరగా గుర్తించడం కష్టతరం చేసే పద్ధతులను ఉపయోగించి ప్యాకేజీలు అనేక విభిన్న ఖాతాల క్రింద ప్రచురించబడ్డాయి.
మోసపూరిత కార్యకలాపాలతో పాటు, NPM మరియు PyPi రిపోజిటరీలలో హానికరమైన ప్యాకేజీలను ప్రచురించడానికి అనేక ప్రయత్నాలు కూడా కనుగొనబడ్డాయి:
- PyPI రిపోజిటరీలో, 451 హానికరమైన ప్యాకేజీలు టైపోస్క్వాటింగ్ని ఉపయోగించి కొన్ని ప్రసిద్ధ లైబ్రరీల వలె మారువేషంలో కనుగొనబడ్డాయి (వ్యక్తిగత అక్షరాలలో విభిన్నమైన సారూప్య పేర్లను కేటాయించడం, ఉదాహరణకు, వైపర్కు బదులుగా vper, బిట్కాయిన్లిబ్కు బదులుగా బిట్కాయిన్లిబ్, క్రిప్టోఫీడ్కు బదులుగా సిక్రిప్టోఫీడ్, సిసిఎక్స్ ccxt, cryptocompare బదులుగా cryptocompare, సెలీనియం బదులుగా seleium, pyinstaller బదులుగా pinstaller, మొదలైనవి). క్లిప్బోర్డ్లో క్రిప్టో వాలెట్ ఐడెంటిఫైయర్ల ఉనికిని గుర్తించి, వాటిని అటాకర్ వాలెట్గా మార్చిన క్రిప్టోకరెన్సీని దొంగిలించడానికి అస్పష్టమైన కోడ్ను ప్యాకేజీలలో చేర్చారు (చెల్లింపు చేసేటప్పుడు, వాలెట్ నంబర్ క్లిప్బోర్డ్ ద్వారా బదిలీ చేయబడిందని బాధితుడు గమనించలేడు. భిన్నంగా ఉంటుంది). వీక్షించిన ప్రతి వెబ్ పేజీ సందర్భంలో అమలు చేయబడిన బ్రౌజర్ యాడ్-ఆన్ ద్వారా ప్రత్యామ్నాయం జరిగింది.
- PyPI రిపోజిటరీలో హానికరమైన HTTP లైబ్రరీల శ్రేణి గుర్తించబడింది. హానికరమైన కార్యాచరణ 41 ప్యాకేజీలలో కనుగొనబడింది, వాటి పేర్లు టైప్క్వాటింగ్ పద్ధతులను ఉపయోగించి ఎంపిక చేయబడ్డాయి మరియు ప్రసిద్ధ లైబ్రరీలను (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2, మొదలైనవి) పోలి ఉన్నాయి. సగ్గుబియ్యం పని చేస్తున్న HTTP లైబ్రరీలను పోలి ఉండేలా స్టైల్ చేయబడింది లేదా ఇప్పటికే ఉన్న లైబ్రరీల కోడ్ని కాపీ చేసింది మరియు వివరణలో చట్టబద్ధమైన HTTP లైబ్రరీలతో ప్రయోజనాలు మరియు పోలికల గురించిన దావాలు ఉన్నాయి. హానికరమైన కార్యకలాపం అనేది సిస్టమ్లోకి మాల్వేర్ను డౌన్లోడ్ చేయడం లేదా సున్నితమైన డేటాను సేకరించి పంపడం వంటివి కలిగి ఉంటుంది.
- NPM 16 జావాస్క్రిప్ట్ ప్యాకేజీలను (స్పీడ్టే*, ట్రోవా*, లాగ్రా) గుర్తించింది, ఇందులో పేర్కొన్న కార్యాచరణ (త్రూపుట్ టెస్టింగ్)తో పాటు, వినియోగదారుకు తెలియకుండా మైనింగ్ క్రిప్టోకరెన్సీ కోసం కోడ్ కూడా ఉంది.
- NPM 691 హానికరమైన ప్యాకేజీలను గుర్తించింది. చాలా సమస్యాత్మక ప్యాకేజీలు Yandex ప్రాజెక్ట్ల వలె (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, మొదలైనవి) వలె నటిస్తాయి మరియు బాహ్య సర్వర్లకు రహస్య సమాచారాన్ని పంపడానికి కోడ్ను కలిగి ఉంటాయి. Yandex (అంతర్గత డిపెండెన్సీలను ప్రత్యామ్నాయం చేసే పద్ధతి)లో ప్రాజెక్ట్లను సమీకరించేటప్పుడు ప్యాకేజీలను పోస్ట్ చేసిన వారు తమ స్వంత డిపెండెన్సీకి ప్రత్యామ్నాయాన్ని సాధించడానికి ప్రయత్నిస్తున్నారని భావించబడుతుంది. PyPI రిపోజిటరీలో, అదే పరిశోధకులు 49 ప్యాకేజీలను (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, మొదలైనవి) అస్పష్టమైన హానికరమైన కోడ్తో కనుగొన్నారు, ఇవి బాహ్య సర్వర్ నుండి ఎక్జిక్యూటబుల్ ఫైల్ను డౌన్లోడ్ చేసి అమలు చేస్తాయి.
మూలం: opennet.ru