NPM dizininin kullanıcılarına bir saldırı kaydedildi ve bunun sonucunda 20 Şubat'ta NPM deposunda 15 binden fazla paket yayınlandı; bunların README dosyaları kimlik avı sitelerine bağlantılar veya telif hakkı olan tıklamalar için yönlendirme bağlantıları içeriyordu. ödenir. Analiz sırasında paketlerde 190 alanı kapsayan 31 benzersiz kimlik avı veya reklam bağlantısı tespit edildi.
Paketlerin isimleri sıradan insanların ilgisini çekecek şekilde seçildi; örneğin, "ücretsiz tiktok takipçileri", "ücretsiz xbox kodları", "instagram takipçileri ücretsiz" vb. Hesaplama, NPM ana sayfasındaki son güncellemeler listesinin spam paketleriyle doldurulması için yapıldı. Paketlerin açıklamalarında ücretsiz çekilişler, hediyeler, oyun hilelerinin yanı sıra TikTok ve Instagram gibi sosyal ağlarda takipçi ve beğenileri artırmaya yönelik ücretsiz hizmetler vaat eden bağlantılar yer alıyordu. Bu, bu türden ilk saldırı değil; Aralık ayında NuGet, NPM ve PyPi dizinlerinde 144 bin spam paketinin yayımlandığı kaydedildi.
Paketlerin içeriği, görünüşe göre yanlışlıkla paketlerin içinde bırakılan ve saldırıda kullanılan çalışma bilgilerini içeren bir python betiği kullanılarak otomatik olarak oluşturuldu. Paketler, karışıklığı çözmeyi ve sorunlu paketleri hızlı bir şekilde tanımlamayı zorlaştıran yöntemler kullanılarak birçok farklı hesap altında yayınlandı.
Dolandırıcılık faaliyetlerine ek olarak, NPM ve PyPi depolarında kötü amaçlı paketler yayınlamaya yönelik çeşitli girişimler de tespit edildi:
- PyPI deposunda, yazım hatası (bireysel karakterlerde farklılık gösteren benzer adlar atama, örneğin vyper yerine vper, bitcoinlib yerine bitcoinnlib, cryptofeed yerine ccryptofeed, yerine ccxtt atama) kullanarak kendilerini bazı popüler kütüphaneler olarak gizleyen 451 kötü amaçlı paket bulundu. ccxt, cryptocompare yerine cryptocompare, selenium yerine seleium, pyinstaller yerine pinstaller vb.). Paketler, panoda kripto cüzdan tanımlayıcılarının varlığını tespit eden ve bunları saldırganın cüzdanına değiştiren kripto para birimini çalmaya yönelik gizlenmiş kod içeriyordu (kurbanın ödeme yaparken pano aracılığıyla aktarılan cüzdan numarasının farkına varmayacağı varsayılmaktadır). farklı). Değiştirme, görüntülenen her web sayfası bağlamında yürütülen bir tarayıcı eklentisi tarafından gerçekleştirildi.
- PyPI deposunda bir dizi kötü amaçlı HTTP kitaplığı tespit edildi. Adları typequatting yöntemleri kullanılarak seçilen ve popüler kütüphanelere (aio41, requestt, ulrlib, urllb, libhttps, piphttps, httpxv5 vb.) benzeyen 2 pakette kötü amaçlı etkinlik bulundu. Doldurma, çalışan HTTP kitaplıklarına benzeyecek veya mevcut kitaplıkların kodunu kopyalayacak şekilde tasarlandı ve açıklama, meşru HTTP kitaplıklarının yararları ve karşılaştırmaları hakkında iddialar içeriyordu. Kötü amaçlı etkinlik, sisteme kötü amaçlı yazılım indirmek veya hassas verileri toplayıp göndermekten oluşuyordu.
- NPM, belirtilen işlevselliğe (verim testi) ek olarak, kullanıcının bilgisi olmadan kripto para birimi madenciliği için kod da içeren 16 JavaScript paketi (speedte*, trova*, lagra) belirledi.
- NPM 691 kötü amaçlı paket tespit etti. Sorunlu paketlerin çoğu Yandex projesi gibi görünüyordu (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms vb.) ve gizli bilgilerin harici sunuculara gönderilmesine yönelik kod içeriyordu. Paketleri yayınlayanların, Yandex'de proje oluştururken kendi bağımlılıklarını ikame etmeye çalıştıkları varsayılmaktadır (dahili bağımlılıkların ikame yöntemi). Aynı araştırmacılar, PyPI deposunda, harici bir sunucudan yürütülebilir bir dosya indirip çalıştıran, gizlenmiş kötü amaçlı kod içeren 49 paket (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp vb.) buldu.
Kaynak: opennet.ru