NPM Репозиторий для публикации проектов Node.js

2023: Выявление 15 тысяч пакетов для фишинга и спама

26 февраля 2023 года стало известно о том, что зафиксирована атака на пользователей каталога NPM, в результате которой 20 февраля 2023 года в репозитории NPM было размещено более 15 тысяч пакетов, в README-файлах которых присутствовали ссылки на фишинговые сайты или реферальные ссылки, за переходы по которым выплачиваются отчисления. В ходе анализа в пакетах было выявлено 190 уникальных фишинговых или рекламных ссылок, охватывающих 31 домен.

NPM. Иллюстрация: habr.com.

Как сообщалось, имена пакетов выбирались для привлечения интереса обывателей, например, "free-tiktok-followers" "free-xbox-codes", "instagram-followers-free" и т.п. Расчёт делался на заполнение спамерскими пакетами списка недавних обновлений на главной странице NPM. В описании к пакетам приводились ссылки, обещавшие бесплатные раздачи, подарки, игровые читы, а также бесплатные услуги по накручиванию подписчиков и лайков в социальных сетях, таких как TikTok и Instagram. Это не первая подобная атака, в декабре в каталогах NuGet, NPM и PyPi была зафиксирована публикация 144 тысяч спамерских пакетов.

Содержимое пакетов было сгенерировано автоматически с использованием python-скрипта, который, видимо, по недосмотру был оставлен в пакетах и включал в себя рабочие учётные данные, использованные в ходе атаки. Пакеты были опубликованы под множеством различных учётных записей с использованием методов, усложняющих распутывание следов и оперативную идентификацию проблемных пакетов.

Кроме мошеннических действий в репозиториях NPM и PyPi также выявлено несколько попыток публикации вредоносных пакетов:

• В репозитории PyPI найден 451 вредоносный пакет, который маскировался под некоторые популярные библиотеки при помощи тайпсквотинга (назначение похожих имён, отличающихся отдельными символами, например, vper вместо vyper, bitcoinnlib вместо bitcoinlib, ccryptofeed вместо cryptofeed, ccxtt вместо ccxt, cryptocommpare вместо cryptocompare, seleium вместо selenium, pinstaller вместо pyinstaller и т.п.). Пакеты включали обфусцированный код для кражи криптовалюты, который определял наличие идентификаторов криптокошельков в буфере обмена и менял их на кошелёк злоумышленника (предполагается, что при совершении оплаты жертва не заметит, что перенесённый через буфер обмена номер кошелька отличается). Подмену осуществляло встраиваемое в браузер дополнение, которое выполнялось в контексте каждой просматриваемой web-страницы.
• В репозитории PyPI выявлена серия вредоносных HTTP-библиотек. Вредоносная активность была найдена в 41 пакете, имена которых выбирались с использованием методов тайпсквоттинга и напоминали популярные библиотеки (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2 и т.п.). Начинка была стилизована под работающие HTTP-библиотеки или копировала код существующих библиотек, а в описании приводились утверждения о преимуществах и сравнения с легитимными HTTP-библиотеками. Вредоносная активность сводилась либо к загрузке вредоносного ПО на систему, либо к сбору и отправке конфиденциальных данных.
• В NPM выявлено 16 JavaScript-пакетов (speedte, trova, lagra), которые помимо заявленной функциональности (тестирование пропускной способности) также содержали код для майнинга криптовалюты без ведома пользователя.
• В NPM выявлен 691 вредоносный пакет. Большая часть проблемных пакетов притворялась проектами Yandex (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms и т.п.) и включала код для отправки конфиденциальной информации на внешние серверы. Предполагается, разместившие пакеты пытались добиться подстановки собственной зависимости при сборке проектов в Yandex (метод подмены внутренних зависимостей). В репозитории PyPI теми же исследователями найдено 49 пакетов (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp и т.п.) с обфусцированным вредоносным кодом, загружающим и запускающим исполняемый файл с внешнего сервера^[1].

2022

Распространение фишинговых пакетов через репозиторий

15 декабря 2022 года появилась информация о том, что кампания по распространению фишинговых пакетов была обнаружена аналитиками из Checkmarx и Illustria, которые совместно работали над расследованием произошедшего. Как говорят специалисты, пакеты загружались с аккаунтов, использующих определенную схему именования, имели схожие описания и вели к одному и тому же кластеру из 90 доменов, на которых было размещено более 65 000 фишинговых страниц. Подробнее здесь.

Вредоносные пакеты в репозитории

24 февраля 2022 г. стало известно о том, что в официальном репозитории NPM обнаружено 25 вредоносных JavaScript-библиотек, похищающих токены Discord и переменные среды. Библиотеки используют так называемый тайпсквоттинг – то есть, их названия очень похожи на названия легитимных библиотек с небольшим отличием. В частности, они маскируются под colors.js, crypto-js, discord.js, marked и noblox.js, сообщает компания JFrog.

Источник: bugfender.com

Злоумышленники используют похищенные токены Discord для получения несанкционированного доступа к учетным записям без необходимости использовать пароль. Через взломанные таким образом учетные записи они распространяют вредоносные ссылки. Переменные среды, такие как значения пар ключей, используются для сохранения информации, относящейся к среде программирования на компьютере разработчика, включая токены доступа API, ключи для авторизации, API URL и названия учетных записей.Игорь Лейпи, ГК Softline: Объем поставок российских операционных систем в ближайшие годы увеличится как минимум вдвое 2.7 т

Список вредоносных библиотек:

• node-colors-sync (похищает токены Discord);
• color-self (похищает токены Discord);
• color-self-2 (похищает токены Discord);
• wafer-text (похищает переменные среды);
• wafer-countdown (похищает переменные среды);
• wafer-template (похищает переменные среды);
• wafer-darla (похищает переменные среды);
• lemaaa (похищает токены Discord);
• adv-discord-utility (похищает токены Discord);
• tools-for-discord (похищает токены Discord);
• mynewpkg (похищает переменные среды);
• purple-bitch (похищает токены Discord);
• purple-bitchs (похищает токены Discord);
• noblox.js-addons (похищает токены Discord);
• kakakaakaaa11aa (обратная оболочка);
• markedjs (инструмент для удаленного внедрения кода Python);
• crypto-standarts (инструмент для удаленного внедрения кода Python);
• discord-selfbot-tools (похищает токены Discord);
• discord.js-aployscript-v11 (похищает токены Discord);
• discord.js-selfbot-aployscript (похищает токены Discord);
• discord.js-selfbot-aployed (похищает токены Discord);
• discord.js-discord-selfbot-v4 (похищает токены Discord);
• colors-beta (похищает токены Discord);
• vera.js (похищает токены Discord);
• discord-protection (похищает токены Discord).

Два вредоносных пакета, markedjs и crypto-standarts, отличаются от остальных тем, что их функционал полностью соответствует легитимным версиям библиотек marked и crypto-js, но они также могут внедрять дополнительный вредоносный код Python.^[2]

Примечания