NPM 目录的用户遭到了攻击,导致 20 月 15 日,NPM 存储库中发布了超过 190 个软件包,其中的 README 文件包含钓鱼网站的链接或点击使用费的推荐链接已付款。 在分析过程中,在包中发现了 31 个独特的网络钓鱼或广告链接,涵盖 XNUMX 个域。
软件包的名称是为了吸引普通人的兴趣而选择的,例如“free-tiktok-followers”、“free-xbox-codes”、“instagram-followers-free”等。 计算结果是用垃圾邮件包填充 NPM 主页上的最近更新列表。 包裹的描述包括承诺免费赠品、礼物、游戏秘籍的链接,以及为增加 TikTok 和 Instagram 等社交网络上的关注者和点赞而提供的免费服务。 这并不是第一次此类攻击;去年 144 月,NuGet、NPM 和 PyPi 目录中记录了 XNUMX 万个垃圾邮件包的发布。
包的内容是使用 python 脚本自动生成的,该脚本显然是无意中留在包中的,并且包含攻击中使用的工作凭据。 这些包是在许多不同的帐户下发布的,使用的方法很难理清痕迹并快速识别有问题的包。
除了欺诈活动之外,还在 NPM 和 PyPi 存储库中检测到多次尝试发布恶意软件包的行为:
- 在 PyPI 存储库中发现了 451 个恶意软件包,这些软件包使用 typequatting 将自己伪装成一些流行的库(分配相似的名称,但各个字符不同,例如,vper 代替 vyper,bitcoinnlib 代替 bitcoinlib,ccryptofeed 代替 cryptofeed,ccxtt 代替) ccxt、cryptocommpare 代替 cryptocompare、seleium 代替 selenium、pinstaller 代替 pyinstaller 等)。 这些软件包中包含用于窃取加密货币的混淆代码,该代码检测到剪贴板中存在加密钱包标识符,并将其更改为攻击者的钱包(假设在付款时,受害者不会注意到通过剪贴板传输的钱包号码)是不同的)。 替换是由浏览器插件执行的,该插件在查看的每个网页的上下文中执行。
- PyPI 存储库中已识别出一系列恶意 HTTP 库。 在 41 个包中发现了恶意活动,这些包的名称是使用抢注方法选择的,并且类似于流行的库(aio5、requestt、ulrlib、urllb、libhttps、piphttps、httpxv2 等)。 填充的样式类似于工作 HTTP 库或复制现有库的代码,并且描述包括有关优点的声明以及与合法 HTTP 库的比较。 恶意活动包括将恶意软件下载到系统上或收集和发送敏感数据。
- NPM 识别了 16 个 JavaScript 包(speedte*、trova*、lagra),除了规定的功能(吞吐量测试)外,这些包还包含在用户不知情的情况下挖掘加密货币的代码。
- NPM 识别出 691 个恶意软件包。 大多数有问题的软件包伪装成 Yandex 项目(yandex-logger-sentry、yandex-logger-qloud、yandex-sendsms 等),并包含用于向外部服务器发送机密信息的代码。 假设那些发布包的人在 Yandex 中组装项目时试图实现对自己依赖项的替换(替换内部依赖项的方法)。 在 PyPI 存储库中,这些研究人员发现了 49 个软件包(reqsystem、httpxfaster、aio6、gorilla2、httpsos、pohttp 等),其中包含经过混淆的恶意代码,这些代码会从外部服务器下载并运行可执行文件。
来源: opennet.ru