NPM ڈائریکٹری صارفین پر حملے کا پتہ چلا۔ 20 فروری کو، NPM ذخیرہ میں 15 سے زیادہ پیکجز شامل کیے گئے۔ ان کی README فائلوں میں فشنگ سائٹس کے لنکس یا ریفرل لنکس ہوتے ہیں جو رائلٹی پیدا کرتے ہیں۔ پیکیجز کے تجزیے سے 31 ڈومینز پر پھیلے ہوئے 190 منفرد فشنگ یا اشتہاری لنکس سامنے آئے۔
عام لوگوں کی توجہ مبذول کرنے کے لیے پیکیج کے ناموں کا انتخاب کیا گیا، مثال کے طور پر، "free-tiktok-followers،" "free-xbox-codes،" "instagram-followers-free،" وغیرہ۔ اس کا مقصد NPM ہوم پیج پر حالیہ اپ ڈیٹس کی فہرست کو اسپام پیکجوں کے ساتھ آباد کرنا تھا۔ پیکیج کی تفصیل میں ٹک ٹاک اور انسٹاگرام جیسے سوشل میڈیا پلیٹ فارمز پر فالوورز اور لائکس بڑھانے کے لیے مفت تحفے، تحائف، گیم چیٹس اور مفت خدمات کا وعدہ کرنے والے لنکس شامل ہیں۔ یہ اس طرح کا پہلا حملہ نہیں ہے۔ دسمبر میں، 144 سپیم پیکجز NuGet، NPM، اور PyPi میں شائع کیے گئے تھے۔
پیکج کا مواد ازگر اسکرپٹ کا استعمال کرتے ہوئے خود بخود تیار کیا گیا تھا، بظاہر نادانستہ طور پر پیکجوں میں چھوڑ دیا گیا تھا، اور اس میں حملے کے دوران استعمال ہونے والی اسناد بھی شامل تھیں۔ پیکجز کو متعدد مختلف اکاؤنٹس کے تحت شائع کیا گیا تھا جس کی تکنیکوں کا استعمال کرتے ہوئے یہ مشکل پیکجوں کا سراغ لگانا اور تیزی سے شناخت کرنا مشکل بناتا ہے۔
دھوکہ دہی کی سرگرمیوں کے علاوہ، NPM اور PyPi کے ذخیروں میں بھی نقصان دہ پیکجز شائع کرنے کی کئی کوششوں کا پتہ چلا ہے:
- PyPI ریپوزٹری میں 451 بدنیتی پر مبنی پیکجز پائے گئے جنہوں نے ٹائپوسکوٹنگ (مختلف حروف کے ساتھ ملتے جلتے ناموں کو تفویض کرتے ہوئے) کا استعمال کرتے ہوئے اپنے آپ کو مقبول لائبریریوں کے طور پر بھیس لیا، جیسے vyper کے بجائے vper، bitcoinlib کی بجائے bitcoinnlib، cryptofeed کے بجائے ccryptofeed، ccxtp کی بجائے cryptofeed، ccxtp کی بجائے سیلینیم کی بجائے سیلیم، پائنسٹالر کی بجائے پنسٹالر وغیرہ)۔ پیکجز میں مبہم کریپٹو کرنسی چوری کرنے والا کوڈ شامل تھا جس نے کلپ بورڈ میں کرپٹو والیٹ آئی ڈی کا پتہ لگایا اور انہیں حملہ آور کے بٹوے سے بدل دیا (خیال یہ ہے کہ متاثرہ شخص ادائیگی کرتے وقت کلپ بورڈ سے کاپی کردہ مختلف والیٹ نمبر کو نہیں دیکھے گا)۔ متبادل ایک براؤزر ایڈ آن کے ذریعہ انجام دیا گیا تھا جو ہر ویب صفحہ دیکھے جانے کے تناظر میں چلتا تھا۔
- PyPI ریپوزٹری میں نقصان دہ HTTP لائبریریوں کا ایک سلسلہ دریافت ہوا۔ 41 پیکجوں میں بدنیتی پر مبنی سرگرمی پائی گئی، جن کے ناموں کا انتخاب ٹائپوسکوٹنگ تکنیک کا استعمال کرتے ہوئے کیا گیا تھا اور مقبول لائبریریوں (aio5، requestst، ulrlib، urllb، libhttps، piphttps، httpxv2، وغیرہ) سے مشابہت رکھتے تھے۔ پے لوڈز کو کام کرنے والی HTTP لائبریریوں سے مشابہت کے لیے اسٹائل کیا گیا تھا یا موجودہ لائبریریوں کے کوڈ کو کاپی کیا گیا تھا، اور تفصیل میں ان کے فوائد اور جائز HTTP لائبریریوں کے ساتھ موازنہ کے دعوے تھے۔ بدنیتی پر مبنی سرگرمی یا تو سسٹم میں میلویئر ڈاؤن لوڈ کرنے یا خفیہ ڈیٹا اکٹھا کرنے اور بھیجنے پر مشتمل تھی۔
- NPM میں 16 JavaScript پیکجز (speedte*, trova*, lagra) پائے گئے جن میں، ان کی بیان کردہ فعالیت (بینڈ وڈتھ ٹیسٹنگ) کے علاوہ، صارف کے علم کے بغیر کریپٹو کرنسی مائننگ کا کوڈ بھی شامل تھا۔
- NPM میں 691 بدنیتی پر مبنی پیکیجز کا پتہ چلا۔ زیادہ تر پریشانی والے پیکجوں نے Yandex پروجیکٹس (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms، وغیرہ) کی نقالی کی اور بیرونی سرورز کو خفیہ معلومات بھیجنے کا کوڈ شامل کیا۔ سروریہ خیال کیا جاتا ہے کہ وہ لوگ جنہوں نے پیکجز پوسٹ کیے وہ Yandex (اندرونی انحصار کو تبدیل کرنے کا ایک طریقہ) میں پروجیکٹ بناتے وقت اپنے انحصار کو تبدیل کرنے کی کوشش کر رہے تھے۔ PyPI ذخیرے میں، انہی محققین کو 49 پیکجز (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp، وغیرہ) ملے جن میں مبہم بدنیتی پر مبنی کوڈ موجود ہے جو ایک بیرونی سرور سے ایک قابل عمل فائل کو ڈاؤن لوڈ اور چلاتا ہے۔ سرور.
ماخذ: opennet.ru
