Attaque du NMP
La nouvelle a récemment été publiée que une Attaque du NMP contre les utilisateurs a été enregistrée, produit dont, le 20 février, plus de 15 000 colis ont été placés dans le référentiel NPM, dont les fichiers README contenaient des liens vers des sites de phishing ou des liens de référence pour lesquels des redevances étaient payées.
Analyser les paquets révélé 190 liens promotionnels ou de phishing seuls couvrant 31 domaines.
Les noms de package ont été choisis pour susciter l’intérêt, par exemple, “free-tiktok-followers”, “free-xbox-codes”, “instagram-followers-free”, etc.
Le calcul a été fait pour remplir la liste des mises à jour récentes sur la page d’accueil du NPM avec des paquets de spam. Les descriptions des packages comprenaient des liens promettant des cadeaux, des astuces de jeu et des services gratuits pour obtenir des abonnés et des likes sur les réseaux sociaux comme TikTok et Instagram. Ce n’est pas la première attaque de ce type, 144 000 paquets de spam ont été publiés dans les répertoires NuGet, NPM et PyPi en décembre.
Le contenu des packages a été automatiquement généré par un script python qui a apparemment été laissé dans les colis par erreur et comprenait les informations d’identification professionnelles utilisées lors de l’attaque. Des packages ont été publiés sur de nombreux comptes différents à l’aide de méthodes qui rendent difficile le démêlage de la piste et l’identification rapide des packages problématiques.
Outre les activités frauduleuses, il plusieurs tentatives de publication de packages malveillants ont été identifiées dans les dépôts NPM et PyPi :
- Des packages malveillants ont été trouvés dans le référentiel PyPI451 qui se sont fait passer pour certaines bibliothèques populaires en utilisant le typequatting (attribuant des noms similaires qui diffèrent par des caractères individuels, par exemple vper au lieu de vyper, bitcoinnlib au lieu de bitcoinlib, ccryptofeed au lieu de cryptofeed , ccxtt au lieu de ccxt, cryptocommpare au lieu de cryptocompare, seleium au lieu de selenium, pinstaller au lieu de pyinstaller, etc.).
- Les paquets comprenaient un code obscurci pour voler la crypto-monnaie, qui a déterminé la présence d’identifiants de portefeuille crypto sur le presse-papiers et les a basculés vers le portefeuille de l’attaquant (on suppose que lors d’un paiement, la victime ne remarquera pas que le numéro de portefeuille a été transféré via presse-papiers) est différent).
- Le remplacement a été effectué par un plug-in de navigateur intégré, qui a été effectué dans le contexte de chaque page Web visitée.
- Un certain nombre de bibliothèques HTTP malveillantes ont été identifiées dans le référentiel PyPI.
- Une activité malveillante a été trouvée dans 41 packages dont les noms ont été choisis à l’aide de méthodes de type quatting et ressemblaient à des bibliothèques populaires (aio5, requestst, ulrlib, urllb, libhttps, piphttps, httpxv2, etc.).
- Le rembourrage a été conçu pour ressembler à des bibliothèques HTTP fonctionnelles ou à du code copié à partir de bibliothèques existantes, et la description revendiquait des avantages et des comparaisons avec des bibliothèques HTTP légitimes. L’activité malveillante se limitait au téléchargement de logiciels malveillants sur le système ou à la collecte et à l’envoi de données sensibles.
- NPM a identifié 16 packages JavaScript (speedte*, trova*, lagra), qui, en plus de la fonctionnalité déclarée (test de performance), contenaient également du code pour l’extraction de crypto-monnaie à l’insu de l’utilisateur.
- NPM a identifié 691 packages malveillants. La plupart des packages problématiques prétendaient être des projets Yandex (yandex-logger-sentry, yandex-logger-qloud, yandex-sendsms, etc.) et incluaient du code pour envoyer des informations sensibles à des serveurs externes. On suppose que ceux qui ont mis les packages ont essayé de réaliser leur propre substitution de dépendance lors de la construction de projets dans Yandex (méthode de substitution de dépendance interne).
Dans le référentiel PyPI, les mêmes chercheurs ont trouvé 49 packages (reqsystem, httpxfaster, aio6, gorilla2, httpsos, pohttp, etc.) avec un code malveillant obscurci qui télécharge et exécute un fichier exécutable à partir d’un serveur externe.
Finalement Si vous souhaitez en savoir plus, Vous pouvez vérifier les détails dans le lien suivant.
