آنها بیش از 15.000 بسته فیشینگ و هرزنامه را در NPM پیدا کردند

حمله NPM

حمله NPM

 

این خبر اخیرا منتشر شد که حمله به کاربران دایرکتوری NPM ثبت شد، محصول آن در 20 فوریه بیش از 15 هزار بسته قرار داده شد در مخزن NPM، که در فایل‌های README آن پیوندهایی به سایت‌های فیشینگ یا پیوندهای ارجاعی وجود داشت که برای آنها حق امتیاز پرداخت می‌شد.

تجزیه بسته ها 190 لینک تبلیغاتی یا فیشینگ را فاش کرد تنها مواردی که 31 دامنه را پوشش می دهند.

روز دوشنبه، 20 فوریه، آزمایشگاه چکمارکس زمانی که اطلاعات جدید را با پایگاه‌های اطلاعاتی خود تلاقی کردیم، یک ناهنجاری را در اکوسیستم NPM کشف کرد. گروه های بسته به تعداد زیاد در مدیر بسته NPM منتشر شده بودند. تحقیقات بیشتر نشان داد که بسته‌ها بخشی از یک بردار حمله جدید هستند که در آن مهاجمان اکوسیستم منبع باز را با بسته‌هایی حاوی پیوندهایی به کمپین‌های فیشینگ ارسال می‌کردند. ما در دسامبر گذشته از حمله مشابهی خبر دادیم.

در این سناریو، به نظر می رسد که فرآیندهای خودکار برای ایجاد بیش از 15 بسته در NPM و حساب های کاربری مرتبط استفاده شده است. توضیحات این بسته ها حاوی پیوندهایی به کمپین های فیشینگ بود. تیم ما به تیم امنیتی NPM هشدار داد.

نام بسته ها برای جلب علاقه انتخاب شده اند، به عنوان مثال، «فالوورهای رایگان tiktok»، «کدهای xbox رایگان»، «فالوورهای اینستاگرام رایگان» و غیره.

این محاسبه برای تکمیل لیست به روز رسانی های اخیر انجام شده است در صفحه اصلی NPM با بسته های هرزنامه. توضیحات بسته شامل لینک‌هایی بود که وعده‌های رایگان، تقلب‌های بازی، و خدمات رایگان برای جذب فالوور و لایک در رسانه‌های اجتماعی مانند TikTok و Instagram را می‌دادند. این اولین حمله از این نوع نیست، 144 بسته هرزنامه در دایرکتوری NuGet، NPM و PyPi در ماه دسامبر ارسال شد.

محتوای بسته ها به طور خودکار توسط یک اسکریپت پایتون تولید می شد که ظاهراً اشتباهاً در بسته ها رها شده بود و شامل مدارک کاری مورد استفاده در حمله بود. بسته‌ها با استفاده از روش‌هایی در حساب‌های مختلف منتشر شده‌اند که بازگشایی مسیر و شناسایی سریع بسته‌های مشکل‌زا را دشوار می‌کند.

علاوه بر فعالیت های متقلبانه، همچنین چندین تلاش برای انتشار بسته های مخرب شناسایی شده است در مخازن NPM و PyPi:

  • بسته‌های مخربی در مخزن PyPI451 یافت شده‌اند که جعل هویت برخی از کتابخانه‌های محبوب با استفاده از تایپ‌کواتینگ (تخصیص نام‌های مشابهی که بر اساس نویسه‌های جداگانه متفاوت است، به عنوان مثال vper به جای vyper، bitcoinnlib به جای bitcoinlib، ccryptofeed به جای cryptofeed، ccxtt به جای ccxtt، به جای cryptocommpxt، crypto. cryptocompare، seleium به جای سلنیوم، pinstaller به جای pyinstaller و غیره).
  • بسته‌ها شامل یک کد مبهم برای سرقت ارزهای دیجیتال بود که وجود شناسه‌های کیف پول رمزنگاری را در کلیپ بورد مشخص می‌کرد و آنها را به کیف پول مهاجم تغییر می‌داد (فرض می‌رود که هنگام پرداخت، قربانی متوجه نخواهد شد که شماره کیف پول از طریق منتقل شده است. کلیپ بورد) متفاوت است).
  • جایگزینی توسط یک افزونه مرورگر یکپارچه انجام شد که در زمینه هر صفحه وب بازدید شده انجام شد.
  • تعدادی از کتابخانه های HTTP مخرب در مخزن PyPI شناسایی شده اند.
  • فعالیت مخرب در 41 بسته یافت شد که نام‌های آنها با استفاده از روش‌های quatting مانند و شبیه کتابخانه‌های محبوب (aio5، requestst، ulrlib، urllb، libhttps، piphttps، httpxv2، و غیره) انتخاب شده بود.
  • بالشتک طوری طراحی شده بود که شبیه کتابخانه‌های HTTP یا کدهای کپی‌شده از کتابخانه‌های موجود باشد، و توضیحات ادعای مزایا و مقایسه با کتابخانه‌های HTTP قانونی را داشت. فعالیت مخرب به بارگیری بدافزار در سیستم یا جمع‌آوری و ارسال داده‌های حساس محدود شد.
  • NPM 16 بسته جاوا اسکریپت (speedte*, trova*, lagra) را شناسایی کرد که علاوه بر عملکرد اعلام شده (تست عملکرد) حاوی کدهایی برای استخراج ارزهای دیجیتال بدون اطلاع کاربر بود.
  • NPM 691 بسته مخرب را شناسایی کرد. اکثر بسته‌های مشکل‌ساز وانمود می‌کردند که پروژه‌های Yandex هستند (yandex-logger-sentry، yandex-logger-qloud، yandex-sendsms و غیره) و شامل کدی برای ارسال اطلاعات حساس به سرورهای خارجی بودند. فرض بر این است که کسانی که بسته‌ها را قرار داده‌اند، هنگام ساختن پروژه‌ها در Yandex (روش جایگزینی وابستگی داخلی) سعی کردند به جایگزینی وابستگی خود دست یابند.

در مخزن PyPI، همان محققان 49 بسته (reqsystem، httpxfaster، aio6، gorilla2، httpsos، pohttp، و غیره) با کد مخرب مبهم پیدا کردند که یک فایل اجرایی را از یک سرور خارجی دانلود و اجرا می‌کند.

سرانجام اگر شما علاقه مند به دانستن بیشتر در مورد آن هستید ، می توانید جزئیات را در اینجا بررسی کنید لینک زیر


محتوای مقاله به اصول ما پیوست اخلاق تحریریه. برای گزارش یک خطا کلیک کنید اینجا.

اولین کسی باشید که نظر

نظر خود را بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند با *

*

*

  1. مسئول داده ها: میگل آنخل گاتون
  2. هدف از داده ها: کنترل هرزنامه ، مدیریت نظرات.
  3. مشروعیت: رضایت شما
  4. ارتباط داده ها: داده ها به اشخاص ثالث منتقل نمی شوند مگر با تعهد قانونی.
  5. ذخیره سازی داده ها: پایگاه داده به میزبانی شبکه های Occentus (EU)
  6. حقوق: در هر زمان می توانید اطلاعات خود را محدود ، بازیابی و حذف کنید.