- W ramach skoordynowanej dwuletniej kampanii npm zalało ponad 43 000 nieaktywnych pakietów spamu
- Niektóre pakiety zawierały skrypty przypominające robaki, które automatycznie generowały i publikowały nowe wpisy
- Atakujący mogli sfałszować wyniki wpływów TEA, aby zdobyć zdecentralizowane nagrody dla programistów
Eksperci twierdzą, że około 1% całego ekosystemu npm składa się obecnie z fałszywych, nieaktywnych pakietów, które zostały przesłane w ramach długotrwałej ukierunkowanej – i potencjalnie złośliwej – kampanii.
Badacze cyberbezpieczeństwa Endor Labs odkryli ponad 43 000 pakietów spamu, których przesłanie zajęło prawie dwa lata w ramach skoordynowanego wysiłku wymagającego co najmniej 11 różnych kont użytkowników.
„Pakiety były systematycznie uwalniane przez dłuższy czas, zalewając rejestr npm bezwartościowymi pakietami, które przetrwały w ekosystemie przez prawie dwa lata” – stwierdzili naukowcy.
Zbiór tokenów TEA?
Badacze nazwali kampanię IndonesianFoods ze względu na sposób, w jaki nazwano opakowania. Szkodliwy skrypt używany do nazewnictwa zawiera dwa wewnętrzne słowniki, jeden z indonezyjskimi nazwami, a drugi z indonezyjskimi terminami dotyczącymi żywności. Po uruchomieniu skrypt losowo wybiera dwa terminy, dodaje liczbę i dodaje sufiks.
Dziwne jest to, że same pakiety nie są złośliwe. Nie mają na celu kradzieży wrażliwych danych programistów ani działania jako backdoory. Zamiast tego po prostu leżą, uśpione, zbierając pliki do pobrania.
Naukowcy wyjaśniają, że niektóre pakiety są pobierane tysiące razy tygodniowo, sugerując, że daje to atakującemu potencjalną przewagę: „Pozostawia to atakującym możliwość pobrania w przyszłości szkodliwego oprogramowania, które miałoby wpływ na wszystkie te pobrania”.
Niektóre pakiety zawierały skrypt przypominający robaka, który po uruchomieniu pojawiał się i tworzył dodatkowe skrypty, które następnie były dodawane do npm.
Oprócz szkodliwego potencjału, badacze uważają, że może to być również część kampanii motywowanej finansowo. Najwyraźniej niektóre pakiety zawierały pliki tea.yaml zawierające listę kont TEA. Herbata to zdecentralizowana platforma protokołów, w ramach której programiści open source są nagradzani za wkład w tworzenie oprogramowania.
Może to oznaczać, że napastnicy próbowali sfałszować swoje wyniki wpływów, aby zdobyć więcej tokenów TEA.
Poprzez Wiadomości o hakerach
Najlepszy program antywirusowy na każdą kieszeń
Obserwuj TechRadar w Google News I dodaj nas jako preferowane źródło aby otrzymywać wiadomości od ekspertów, recenzje i opinie w swoich kanałach. Koniecznie kliknij przycisk Obserwuj!
I oczywiście Ty też możesz Śledź TechRadar na TikTok aby otrzymywać aktualności, recenzje, rozpakowywania wideo i otrzymywać od nas regularne aktualizacje pod adresem WhatsApp Również.
