Ҳамла ба корбарони феҳристи NPM ба қайд гирифта шуд, ки дар натиҷа 20 феврал дар анбори NPM беш аз 15 ҳазор бастаҳо ҷойгир карда шуданд, ки дар файлҳои README истинодҳо ба сайтҳои фишинг ё истинодҳои истинод ба онҳо мавҷуд буданд. роялти пардохт карда шуд. Таҳлили бастаҳо 190 истинодҳои беназири фишинг ё таблиғро, ки 31 доменро фаро мегиранд, ошкор карданд.
Номҳои бастаҳо барои ҷалби таваҷҷӯҳи одамони оддӣ интихоб карда шуданд, масалан, "free-tiktok-пайравони" "кодҳои ройгон-xbox", "instagram-пайравони-озод" ва ғайра. Ҳисобкунӣ барои пур кардани рӯйхати навсозиҳои охирин дар саҳифаи асосии NPM бо бастаҳои спам анҷом дода шудааст. Тавсифи бастаҳо истинодҳоеро дар бар мегиранд, ки тӯҳфаҳои ройгон, тӯҳфаҳо, фиребҳои бозӣ ва хидматҳои ройгон барои дарёфти пайравон ва лайкҳо дар шабакаҳои иҷтимоӣ ба монанди TikTok ва Instagram ваъда медиҳанд. Ин аввалин чунин ҳамла нест; дар моҳи декабр 144 ҳазор бастаи спам дар феҳристҳои NuGet, NPM ва PyPi нашр шуданд.
Мундариҷаи бастаҳо бо истифода аз скрипти python ба таври худкор тавлид мешуд, ки зоҳиран аз ҷониби назорат дар бастаҳо гузошта шуда буд ва дорои маълумоти корбарии ҳангоми ҳамла истифодашуда буд. Бастаҳо дар зери ҳисобҳои гуногун бо истифода аз усулҳое нашр шудаанд, ки кушодани пайроҳа ва зуд муайян кардани бастаҳои мушкилотро мушкил мекунанд.
Илова ба фаъолиятҳои қаллобӣ, дар анбори NPM ва PyPi якчанд кӯшишҳои нашри бастаҳои зараровар низ муайян карда шуданд:
- Дар анбори PyPI 451 бастаи зараровар ёфт шуд, ки онҳо ҳамчун баъзе китобхонаҳои маъмул бо истифода аз typequatting (додани номҳои шабеҳ, ки бо аломатҳои инфиродӣ фарқ мекунанд, масалан, vper ба ҷои vyper, bitcoinnlib ба ҷои bitcoinlib, ccryptofeed ба ҷои cryptofeed, ба ҷои ccxtt) пинҳон карда шуданд. ccxt, cryptocommpare ба ҷои cryptocompare, seleium ба ҷои selenium, pinstaller ба ҷои pyinstaller ва ғайра). Дар бастаҳо рамзи печидаи дуздии криптовалютаҳо мавҷуд буданд, ки мавҷудияти ID-ҳои крипто-ҳамьёнро дар буфер муайян карда, онҳоро ба ҳамёни ҳамлагар иваз мекард (тахмин меравад, ки ҳангоми анҷом додани пардохт ҷабрдида пай намебарад, ки рақами ҳамён тавассути криптовалюта интиқол дода шудааст. буфер гуногун аст). Ивазкунӣ тавассути иловаи браузер анҷом дода шуд, ки дар контексти ҳар як саҳифаи веби дидашуда иҷро мешуд.
- Дар анбори PyPI як қатор китобхонаҳои зараровари HTTP муайян карда шуданд. Дар 41 баста, ки номашон бо усулҳои typequatting интихоб шуда буд ва ба китобхонаҳои маъмул шабоҳат дошт (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2 ва ғайра) фаъолияти зараровар пайдо шуд. Ин пуркунӣ ба мисли китобхонаҳои кории HTTP ё рамзи нусхабардорӣ аз китобхонаҳои мавҷуда тарҳрезӣ шуда буд ва тавсиф дар бораи манфиатҳо ва муқоисаҳо бо китобхонаҳои қонунии HTTP изҳорот дод. Фаъолияти зараровар бо зеркашии нармафзори зараровар ба система ё ҷамъоварӣ ва фиристодани маълумоти ҳассос маҳдуд буд.
- NPM 16 бастаи JavaScript-ро (speedte*, trova*, lagra) муайян кард, ки ба ғайр аз функсияи эълоншуда (санҷиши гузаранда) инчунин рамзи истихроҷи криптовалютҳоро бидуни огоҳии корбар дар бар мегирад.
- NPM 691 бастаи зарароварро муайян кард. Аксари бастаҳои мушкилот худро лоиҳаҳои Яндекс вонамуд мекарданд (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms ва ғайра) ва дорои рамзи фиристодани маълумоти махфӣ ба серверҳои беруна. Тахмин меравад, ки онҳое, ки бастаҳоро ҷойгир кардаанд, кӯшиш мекарданд, ки ҳангоми сохтани лоиҳаҳо дар Яндекс (усули иваз кардани вобастагии дохилӣ) ба иваз кардани вобастагии худ ноил шаванд. Дар анбори PyPI ҳамон муҳаққиқон 49 бастаро (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp ва ғайра) бо коди шубҳанок пайдо карданд, ки файли иҷрошавандаро аз сервери беруна зеркашӣ ва оғоз мекунанд.
Манбаъ: opennet.ru