NPM 目錄的用戶遭到了攻擊,導致 20 月 15 日,NPM 儲存庫中發布了超過 190 個軟體包,其中的 README 文件包含釣魚網站的連結或點擊使用費的推薦連結已付款。 在分析過程中,在包中發現了 31 個獨特的網絡釣魚或廣告鏈接,涵蓋 XNUMX 個域。
軟體包的名稱是為了吸引普通人的興趣而選擇的,例如“free-tiktok-followers”、“free-xbox-codes”、“instagram-followers-free”等。 計算結果是用垃圾郵件包填入 NPM 主頁上的最近更新清單。 包裹的描述包括承諾免費贈品、禮物、遊戲秘籍的鏈接,以及為增加 TikTok 和 Instagram 等社交網絡上的關注者和點讚而提供的免費服務。 這並不是第一次此類攻擊;去年 144 月,NuGet、NPM 和 PyPi 目錄中記錄了 XNUMX 個垃圾郵件包的發布。
套件的內容是使用 python 腳本自動產生的,該腳本顯然是無意中留在套件中的,並且包含攻擊中使用的工作憑證。 這些軟體包是在許多不同的帳戶下發布的,使用的方法很難理清線索并快速識別有問題的軟體包。
除了詐欺活動之外,還在 NPM 和 PyPi 儲存庫中偵測到多次嘗試發布惡意軟體包的行為:
- 在PyPI 儲存庫中發現了451 個惡意軟體包,這些軟體包使用typequatting 將自己偽裝成一些流行的庫(分配相似的名稱,但各個字符不同,例如,vper 代替vyper,bitcoinnlib 代替bitcoinlib,ccryptofeed 代替cryptofeed ,ccxtt 代替) ccxt、cryptocommpare 代替 cryptocompare、seleium 代替 selenium、pinstaller 代替 pyinstaller 等)。 這些軟體包中包含用於竊取加密貨幣的混淆代碼,該代碼檢測到剪貼簿中存在加密錢包標識符,並將其更改為攻擊者的錢包(假設在付款時,受害者不會注意到透過剪貼板傳輸的錢包號碼)是不同的)。 替換是由瀏覽器插件執行的,該插件在查看的每個網頁的上下文中執行。
- PyPI 儲存庫中已識別出一系列惡意 HTTP 庫。 在 41 個套件中發現了惡意活動,這些套件的名稱是使用搶注方法選擇的,並且類似於流行的庫(aio5、requestt、ulrlib、urllb、libhttps、piphttps、httpxv2 等)。 填入的樣式類似於工作 HTTP 庫或複製現有庫的程式碼,並且描述包括有關優點的聲明以及與合法 HTTP 庫的比較。 惡意活動包括將惡意軟體下載到系統或收集和發送敏感資料。
- NPM 識別了 16 個 JavaScript 套件(speedte*、trova*、lagra),除了規定的功能(吞吐量測試)外,這些套件還包含在使用者不知情的情況下挖掘加密貨幣的程式碼。
- NPM 識別出 691 個惡意軟體套件。 大多數有問題的軟體包偽裝成 Yandex 專案(yandex-logger-sentry、yandex-logger-qloud、yandex-sendsms 等),並包含用於向外部伺服器發送機密資訊的程式碼。 假設那些發布套件的人在 Yandex 中組裝專案時試圖實現對自己依賴項的替換(內部相依性替換方法)。 在PyPI 儲存庫中,這些研究人員發現了49 個軟體包(reqsystem、httpxfaster、aio6、gorilla2、httpsos、pohttp 等),其中包含經過混淆的惡意程式碼,這些程式碼會從外部伺服器下載並執行可執行文件。
來源: opennet.ru