NPM katalogi foydalanuvchilariga hujum qayd etildi, natijada 20-fevral kuni NPM omborida 15 mingdan ortiq paketlar joylashtirildi, ularning README fayllarida fishing saytlariga havolalar yoki royalti olinadigan bosish uchun havolalar mavjud edi. to'lanadi. Tahlil davomida paketlarda 190 ta domenni qamrab olgan 31 ta noyob fishing yoki reklama havolalari aniqlandi.
Paketlarning nomlari oddiy odamlarni qiziqtirish uchun tanlangan, masalan, “bepul-tiktok-foydalanuvchilar”, “bepul-xbox-kodlar”, “instagram-foydalanuvchilar-bepul” va boshqalar. Hisoblash NPM bosh sahifasidagi so'nggi yangilanishlar ro'yxatini spam-paketlar bilan to'ldirish uchun qilingan. To‘plamlar tavsifida bepul sovg‘alar, sovg‘alar, o‘yin xitlar va’da qilingan havolalar, shuningdek, TikTok va Instagram kabi ijtimoiy tarmoqlarda obunachilar va yoqtirishlarni ko‘paytirish bo‘yicha bepul xizmatlar mavjud. Bu birinchi bunday hujum emas, dekabr oyida NuGet, NPM va PyPi kataloglarida 144 ming spam-paketning nashr etilishi qayd etilgan.
Paketlarning mazmuni python skripti yordamida avtomatik tarzda yaratilgan bo'lib, u tasodifan paketlarda qoldirilgan va hujumda foydalanilgan ish hisob ma'lumotlarini o'z ichiga olgan. To'plamlar izni ochish va muammoli paketlarni tezda aniqlashni qiyinlashtirgan usullardan foydalangan holda turli xil hisoblar ostida nashr etilgan.
Firibgarlik harakatlaridan tashqari, NPM va PyPi omborlarida zararli paketlarni nashr etishga urinishlar ham aniqlandi:
- PyPI omborida 451 ta zararli paketlar topildi, ular typequatting (alohida belgilarda farq qiluvchi o'xshash nomlarni belgilash, masalan, vyper o'rniga vper, bitcoinlib o'rniga bitcoinnlib, kriptofeed o'rniga ccryptofeed, ccxtt o'rniga ccxtt) yordamida o'zlarini mashhur kutubxonalar sifatida yashirgan. ccxt, cryptocompare o'rniga cryptocommpare, selenium o'rniga seleium, pyinstaller o'rniga pinstaller va boshqalar). Paketlar kriptovalyutani o'g'irlash uchun tushunarsiz kodni o'z ichiga olgan bo'lib, u buferda kripto hamyon identifikatorlari mavjudligini aniqladi va ularni tajovuzkorning hamyoniga o'zgartirdi (to'lovni amalga oshirayotganda jabrlanuvchi hamyon raqami almashish buferi orqali uzatilganini sezmaydi deb taxmin qilinadi. boshqacha). O'zgartirish har bir ko'rilgan veb-sahifa kontekstida bajariladigan brauzer qo'shimchasi tomonidan amalga oshirildi.
- PyPI omborida bir qator zararli HTTP kutubxonalari aniqlandi. Zararli faoliyat 41 ta paketda topildi, ularning nomlari typequatting usullari yordamida tanlangan va mashhur kutubxonalarga o'xshardi (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2 va boshqalar). To'ldirish ishlaydigan HTTP kutubxonalariga o'xshab yaratilgan yoki mavjud kutubxonalar kodidan ko'chirilgan va tavsifda qonuniy HTTP kutubxonalari bilan imtiyozlar va taqqoslashlar haqidagi da'volar mavjud. Zararli faoliyat tizimga zararli dasturlarni yuklab olish yoki maxfiy ma'lumotlarni yig'ish va yuborishdan iborat edi.
- NPM 16 ta JavaScript paketini (speedte*, trova*, lagra) aniqladi, ularda koʻrsatilgan funksionallikdan tashqari (oʻtkazuvchanlik testi), shuningdek, foydalanuvchi bilmagan holda kriptovalyutani qazib olish uchun kod ham mavjud edi.
- NPM 691 ta zararli paketlarni aniqladi. Muammoli paketlarning aksariyati o'zini Yandex loyihalari (yandex-logger-senry, yandex-logger-qloud, yandex-sendsms va boshqalar) sifatida ko'rsatdi va tashqi serverlarga maxfiy ma'lumotlarni yuborish uchun kodni o'z ichiga oldi. Taxminlarga ko'ra, paketlarni joylashtirganlar Yandex-da loyihalarni yig'ishda o'zlarining qaramligini almashtirishga harakat qilishgan (ichki bog'liqliklarni almashtirish usuli). PyPI omborida xuddi shu tadqiqotchilar tashqi serverdan bajariladigan faylni yuklaydigan va ishga tushiradigan, noaniq zararli kodli 49 ta paketni (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp va boshqalar) topdilar.
Manba: opennet.ru