قاموا بإغراق NPM بحزم مزيفة مرة أخرى

Darkcrizt

4 دقيقة

تم اختراق NPM

يعاني NPM مرة أخرى من تدفق الحزم الضارة مما يؤدي إلى رفض الخدمة

تم نشر معلومات حول أ المشكلة التي نشأت في NPM و هل هذا الهاكرغمرت s المستودع حزم npm مفتوحة المصدر لـ Node.js مع حزم مزيفة التي أدت حتى لفترة وجيزة إلى هجوم رفض الخدمة (DoS).

على الرغم من أنه في الآونة الأخيرة وقد شوهدت حملات مماثلة من خلال نشر روابط التصيد الاحتيالي ، أدت الموجة الأخيرة إلى رفع عدد إصدارات الحزم إلى 1,42 مليون ، وهو ما يمثل زيادة كبيرة عن 800,000 حزمة تم نشرها على npm.

وعليه يقوم المتسللون بإنشاء مواقع ويب ضارة ونشر حزم فارغة تحتوي على روابط لهذه المواقع الضارة ، مع الاستفادة من السمعة الجيدة للنظم الإيكولوجية مفتوحة المصدر في محركات البحث ، بالإضافة إلى أن الهجمات تسببت في رفض الخدمة (DoS) الذي جعل NPM غير مستقر مع ظهور أخطاء متفرقة "الخدمة غير متوفرة" ».

لقد رأينا حملات البريد العشوائي في النظم البيئية مفتوحة المصدر خلال العام الماضي ، ولكن هذا الشهر كان أسوأ ما رأيناه.

لقد وجد المهاجمون على ما يبدو أن الأنظمة البيئية مفتوحة المصدر التي لم يتم التحقق منها هدفًا سهلاً لإجراء تسمم مُحسّنات محرّكات البحث لحملات ضارة مختلفة. طالما لم يتم استخدام الاسم ، يمكنهم نشر عدد غير محدود من الحزم.

عادة ما يكون عدد إصدارات الحزم التي تم إصدارها لـ NPM حوالي 800 * 000. ومع ذلك ، في الشهر السابق ، تجاوز هذا الرقم 1,4 مليون بسبب الحجم الكبير لحملات البريد العشوائي.

تقنية الهجوم تستفيد من حقيقة أن المستودعات مفتوحة المصدر تحتل مرتبة أعلى في نتائج محرك البحث لإنشاء مواقع ويب ضارة وتنزيل وحدات npm فارغة مع روابط لهذه المواقع في ملفات README.md.

في طريقة الهجوم هذه ، ينشئ مجرمو الإنترنت مواقع ويب ضارة وينشرون حزمًا فارغة تحتوي على روابط لهذه المواقع الضارة. نظرًا لأن الأنظمة البيئية مفتوحة المصدر تتمتع بسمعة عالية في محركات البحث ، فإن جميع حزم المصادر المفتوحة الجديدة وأوصافها ترث هذه السمعة الجيدة والفهرسة الجيدة في محركات البحث ، مما يجعلها أكثر وضوحًا لغير المستخدمين.

نظرًا لأن العملية بأكملها مؤتمتة ، فقد أدى العبء الناتج عن إطلاق العديد من الحزم إلى أن NPM تواجه مشكلات الاستقرار بشكل متقطع بحلول نهاية مارس 2023. وعلى هذا النحو ، يُذكر أن الهدف من هذه الحملة هو إصابة الضحية بملف exe ضار. ملف.

من بين التقنيات المختلفة المستخدمة ، تم ذكر ذلك على وجه الخصوص يستخدم "الطعم" ووهو في الأساس حزمة مع "وصف سلعة مغرية" للمستخدم ، مما يزيد من احتمالية بحث الضحايا عن صفحات npm هذه والوصول إليها.

منذ ذلك الحين ، يكون المستخدم نفسه هو الذي يفعل كل ما يلزم للإصابة بالعدوى ، لأنه عند النقر فوق الارتباط القصير ، يوجد موقع ويب مخصص يبدو شرعيًا ، ولكنه مستضاف على البنية التحتية للمتسلل ويوفر تنزيلًا لبرنامج Warez.

يؤدي هذا إلى تنزيل ملف مضغوط مشفر بكلمة مرور والذي ، عند استخراجه ، ينشئ ملف exe غير مضاف بحجم 600 ميجابايت تقريبًا. تستخدم هذه التقنية لتجنب الكشف عن طريق EDRs.

تقنية أخرى مستخدمة ما هو مذكور هو أحد ذلك تشمل تحميل ملف DLL ، تجنب المحاكاة الافتراضية / وضع الحماية ، وتعطيل الأدوات والجدران النارية ، وإسقاط الأدوات مثل Glupteba ، و RedLine ، و Smoke Loader ، و xmrig ، والمزيد لسرقة بيانات الاعتماد وتعدين العملات المشفرة.

الى جانب ذلك أيضا يذكر أن المهاجمين مرتبطة بمواقع البيع بالتجزئة مثل AliExpress باستخدام معرفات الإحالة التي أنشأوها ، وبالتالي استفادوا من مكافآت الإحالة.

كان حجم هذه الحملة كبيرًا ، حيث تسبب الحمل في جعل NPM غير مستقر مع وجود أخطاء متفرقة "الخدمة غير متوفرة".

كما، يجب أن تتخذ الآلية الوقائية الوطنية إجراءً بشأن هذه المسألة ووضع حد لهذه الأنواع من المشاكل التي تظهر باستمرار في المستودع لأنه أصبح في الأساس "هدفًا" للمتسللين.


اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.