این پی ایم ڈائرکٹری کے صارفین پر ایک حملہ ریکارڈ کیا گیا، جس کے نتیجے میں 20 فروری کو، این پی ایم ریپوزٹری میں 15 ہزار سے زیادہ پیکجز پوسٹ کیے گئے، جن میں سے README فائلوں میں فشنگ سائٹس کے لنکس یا کلکس کے لیے ریفرل لنکس تھے جن پر رائلٹی ادا کیے جاتے ہیں. تجزیہ کے دوران، پیکجز میں 190 منفرد فشنگ یا اشتہاری لنکس کی نشاندہی کی گئی، جن میں 31 ڈومینز شامل تھے۔
پیکجز کے ناموں کا انتخاب عام لوگوں کی دلچسپی کو اپنی طرف متوجہ کرنے کے لیے کیا گیا تھا، مثال کے طور پر، "free-tiktok-followers"، "free-xbox-codes"، "instagram-followers-free" وغیرہ۔ یہ حساب NPM مین پیج پر حالیہ اپ ڈیٹس کی فہرست کو سپیم پیکجوں کے ساتھ بھرنے کے لیے بنایا گیا تھا۔ پیکجز کی تفصیل میں ایسے لنکس شامل تھے جن میں مفت تحفے، تحائف، گیم چیٹس کے ساتھ ساتھ ٹک ٹاک اور انسٹاگرام جیسے سوشل نیٹ ورکس پر فالوورز اور لائکس بڑھانے کے لیے مفت خدمات کا وعدہ کیا گیا تھا۔ یہ اس طرح کا پہلا حملہ نہیں ہے؛ دسمبر میں، NuGet، NPM اور PyPi ڈائریکٹریز میں 144 ہزار سپام پیکجز کی اشاعت ریکارڈ کی گئی۔
پیکجوں کے مواد خود بخود ایک ازگر اسکرپٹ کا استعمال کرتے ہوئے تیار کیے گئے تھے جو بظاہر نادانستہ طور پر پیکجوں میں رہ گئے تھے اور حملے میں استعمال ہونے والے کام کی اسناد بھی شامل تھے۔ پیکجز کو بہت سے مختلف اکاؤنٹس کے تحت ایسے طریقوں کا استعمال کرتے ہوئے شائع کیا گیا تھا جس کی وجہ سے پگڈنڈی کو الجھانا اور پریشانی والے پیکجوں کی فوری شناخت کرنا مشکل ہو گیا تھا۔
دھوکہ دہی کی سرگرمیوں کے علاوہ، NPM اور PyPi کے ذخیروں میں بھی بدنیتی پر مبنی پیکیجز شائع کرنے کی کئی کوششوں کا پتہ چلا:
- PyPI ریپوزٹری میں 451 بدنیتی پر مبنی پیکجز پائے گئے، جنہوں نے ٹائپسکوٹنگ کا استعمال کرتے ہوئے کچھ مشہور لائبریریوں کے طور پر بھیس بدلا (ملتے جلتے ناموں کو تفویض کرنا جو انفرادی حروف میں مختلف ہیں، مثال کے طور پر، vyper کے بجائے vper، bitcoinlib کے بجائے bitcoinnlib، cryptofeed کے بجائے ccryptofeed، ccxtt کے بجائے۔ ccxt، cryptocompare کی بجائے cryptocommpare، seleium کے بجائے selenium، pinstaller کے بجائے pinstaller وغیرہ)۔ پیکیجز میں کریپٹو کرنسی چوری کرنے کے لیے مبہم کوڈ شامل تھا، جس نے کلپ بورڈ میں کرپٹو والیٹ شناخت کنندگان کی موجودگی کا پتہ لگایا اور انہیں حملہ آور کے بٹوے میں تبدیل کر دیا (یہ خیال کیا جاتا ہے کہ ادائیگی کرتے وقت، متاثرہ شخص یہ نہیں دیکھے گا کہ بٹوے کا نمبر کلپ بورڈ کے ذریعے منتقل کیا گیا تھا۔ مختلف ہے). متبادل ایک براؤزر ایڈ آن کے ذریعہ انجام دیا گیا تھا جو ہر ویب صفحہ کو دیکھے جانے کے تناظر میں انجام دیا گیا تھا۔
- PyPI ریپوزٹری میں نقصان دہ HTTP لائبریریوں کی ایک سیریز کی نشاندہی کی گئی ہے۔ بدنیتی پر مبنی سرگرمی 41 پیکجوں میں پائی گئی، جن کے نام ٹائپ اسکواٹنگ کے طریقوں کا استعمال کرتے ہوئے منتخب کیے گئے تھے اور مقبول لائبریریوں سے مشابہت رکھتے تھے (aio5، requestst، ulrlib، urllb، libhttps، piphttps، httpxv2، وغیرہ)۔ اسٹفنگ کو کام کرنے والی HTTP لائبریریوں سے مشابہت کے لیے اسٹائل کیا گیا تھا یا موجودہ لائبریریوں کے کوڈ کو کاپی کیا گیا تھا، اور تفصیل میں جائز HTTP لائبریریوں کے ساتھ فوائد اور موازنہ کے دعوے شامل تھے۔ بدنیتی پر مبنی سرگرمی میں یا تو سسٹم پر میلویئر ڈاؤن لوڈ کرنا یا حساس ڈیٹا اکٹھا کرنا اور بھیجنا شامل ہے۔
- NPM نے 16 JavaScript پیکجز (speedte*, trova*, lagra) کی نشاندہی کی، جن میں بیان کردہ فعالیت (تھرو پٹ ٹیسٹنگ) کے علاوہ، صارف کے علم کے بغیر کریپٹو کرنسی کی کان کنی کے لیے کوڈ بھی شامل تھا۔
- NPM نے 691 نقصان دہ پیکجوں کی نشاندہی کی۔ زیادہ تر پریشانی والے پیکجوں نے Yandex پروجیکٹس (yandex-logger-sentry, yandex-logger-qloud, yandex-sendms, وغیرہ) کا بہانہ کیا اور بیرونی سرورز کو خفیہ معلومات بھیجنے کا کوڈ بھی شامل کیا۔ یہ فرض کیا جاتا ہے کہ جن لوگوں نے پیکجوں کو پوسٹ کیا وہ Yandex (اندرونی انحصار کو تبدیل کرنے کا طریقہ) میں پروجیکٹس کو جمع کرتے وقت اپنی خود انحصاری کا متبادل حاصل کرنے کی کوشش کر رہے تھے۔ PyPI ریپوزٹری میں، انہی محققین کو 49 پیکجز (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp، وغیرہ) ملے جن میں مبہم کوڈ موجود ہیں جو ایک بیرونی سرور سے ایک قابل عمل فائل کو ڈاؤن لوڈ اور چلاتے ہیں۔
ماخذ: opennet.ru