Một cuộc tấn công đã được ghi lại nhằm vào người dùng thư mục NPM, do đó vào ngày 20 tháng 15, hơn 190 nghìn gói đã được đăng trong kho lưu trữ NPM, các tệp README trong đó chứa liên kết đến các trang web lừa đảo hoặc liên kết giới thiệu để nhấp vào tiền bản quyền được trả tiền. Trong quá trình phân tích, 31 liên kết lừa đảo hoặc quảng cáo duy nhất đã được xác định trong các gói, bao gồm XNUMX tên miền.
Tên của các gói được chọn để thu hút sự quan tâm của người bình thường, ví dụ: “free-tiktok-followers”, “free-xbox-codes”, “instagram-followers-free”, v.v. Tính toán được thực hiện để lấp đầy danh sách các bản cập nhật gần đây trên trang chính NPM bằng các gói thư rác. Mô tả của các gói bao gồm các liên kết hứa hẹn tặng quà miễn phí, quà tặng, trò chơi gian lận cũng như các dịch vụ miễn phí để tăng lượng người theo dõi và lượt thích trên các mạng xã hội như TikTok và Instagram. Đây không phải là cuộc tấn công đầu tiên như vậy; vào tháng 144, XNUMX nghìn gói thư rác đã được ghi lại trong các thư mục NuGet, NPM và PyPi.
Nội dung của các gói được tạo tự động bằng cách sử dụng tập lệnh python dường như đã vô tình bị bỏ lại trong các gói và bao gồm thông tin xác thực công việc được sử dụng trong cuộc tấn công. Các gói được xuất bản dưới nhiều tài khoản khác nhau bằng cách sử dụng các kỹ thuật gây khó khăn cho việc tìm ra dấu vết và nhanh chóng xác định các gói có vấn đề.
Ngoài các hoạt động lừa đảo, một số nỗ lực xuất bản các gói độc hại cũng được phát hiện trong kho NPM và PyPi:
- 451 gói độc hại được tìm thấy trong kho lưu trữ PyPI, chúng ngụy trang thành một số thư viện phổ biến bằng cách sử dụng typequatting (gán các tên tương tự nhưng khác nhau về ký tự riêng lẻ, ví dụ: vper thay vì vyper, bitcoinnlib thay vì bitcoinlib, ccryptofeed thay vì cryptofeed, ccxtt thay vì ccxt, cryptocommpare thay vì cryptocompare, seleium thay vì selen, pinstaller thay vì pyinstaller, v.v.). Các gói bao gồm mã bị xáo trộn để đánh cắp tiền điện tử, phát hiện sự hiện diện của số nhận dạng ví tiền điện tử trong bảng tạm và thay đổi chúng thành ví của kẻ tấn công (giả định rằng khi thực hiện thanh toán, nạn nhân sẽ không nhận thấy rằng số ví được chuyển qua bảng tạm khác). Việc thay thế được thực hiện bởi một tiện ích bổ sung của trình duyệt được thực thi trong bối cảnh của từng trang web được xem.
- Hàng loạt thư viện HTTP độc hại đã được xác định trong kho PyPI. Hoạt động độc hại được tìm thấy trong 41 gói, tên của các gói này được chọn bằng phương pháp đánh máy và giống với các thư viện phổ biến (aio5, requestt, ulrlib, urllb, libhttps, piphttps, httpxv2, v.v.). Nội dung được tạo kiểu giống với các thư viện HTTP đang hoạt động hoặc sao chép mã của các thư viện hiện có và phần mô tả bao gồm các tuyên bố về lợi ích cũng như so sánh với các thư viện HTTP hợp pháp. Hoạt động độc hại bao gồm tải phần mềm độc hại xuống hệ thống hoặc thu thập và gửi dữ liệu nhạy cảm.
- NPM đã xác định 16 gói JavaScript (speedte*, trova*, lagra), ngoài chức năng đã nêu (kiểm tra thông lượng), còn chứa mã để khai thác tiền điện tử mà người dùng không hề hay biết.
- Đã phát hiện 691 gói phần mềm độc hại trong NPM. Hầu hết các gói phần mềm gây hại đều mạo danh các dự án của Yandex (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, v.v.) và chứa mã dùng để gửi thông tin bí mật đến các máy chủ bên ngoài. may chủNgười ta tin rằng những người đăng tải các gói phần mềm này đang cố gắng thay thế các thư viện phụ thuộc của riêng họ khi xây dựng dự án trong Yandex (một phương pháp thay thế các thư viện phụ thuộc nội bộ). Trong kho lưu trữ PyPI, các nhà nghiên cứu tương tự đã tìm thấy 49 gói (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, v.v.) chứa mã độc hại được mã hóa, có khả năng tải xuống và chạy một tệp thực thi từ máy chủ bên ngoài. người phục vụ.
Nguồn: opennet.ru
