Checkmarxin ja Illustrian tutkijat löysivät useita haittaohjelmia kolmessa suuressa avoimen lähdekoodin tietovarastossa mukaan sille ilmoitettiin Tämä viikko.
Kaikista 144.294 136.258 tunnistetusta paketista 7.824 212 löytyi NuGetistä, XNUMX XNUMX PyPi:stä ja XNUMX npm:stä. Ne ovat kaikki osa uudentyyppinen hyökkäys, joka koostuu linkkien sisällyttämisestä roskapostisivustoille pakettien kuvauksiin. PyPi ja npm ovat poistaneet paketit, mutta NuGET on vain tehnyt niistä hakukelvottomia, mutta ne ovat edelleen ladattavissa heidän verkkosivustoltaan.
Missä ne havaitsevat useita haittaohjelmia
Puhumme kolmesta paketinhallinnasta. NuGet on .NET-alustan paketinhallinta, PyPi on Python-sovellusvarasto ja npm toimii Javascript-sovellusten jakelussa..
Tutkijat onnistuivat havaitsemaan sen pakettien lataamiseen käytettiin automaattista prosessia päätellen, koska käyttäjätunnukset seurasivat kaavaa <1900-2022>. Koko prosessi tehtiin myös lyhyessä ajassa. Hyökkäyksen nopeuden ja laajuuden lisäksi automaatio vaikeuttaa lähteen löytämistä.
Toinen yhteinen asia on se haitalliset paketit lupasivat pääsyn ilmaisiin vihjeisiin ja resursseihin sekä suorituskyvyn parannuksia sosiaalisissa verkostoissa. Tämän saavuttamiseksi he kehottivat menemään verkkosivuille, joiden URL-osoite sisältyi kuvaukseen. Näitä verkkosivustoja käytettiin todella tietojenkalastelua varten. Tutkimuksessa havaittiin 65,000 90 yksilöllistä URL-osoitetta ryhmiteltyinä XNUMX verkkotunnukseen.
Asiantuntijat eivät usko, että lopullisena tavoitteena oli kolmen alustan käyttäjät. Ilmeisesti he halusivat parantaa tietojenkalastelusivustojen sijoitusta hakukoneissa, minkä he saavuttaisivat yhdistämällä hyvin sijoitettuja sivustoja, kuten NuGET, PyPi ja npm.
Huijauksen toinen osa
Kun tarjouksen houkuttelema käyttäjä näki väärennettyjä interaktiivisia keskusteluja, joissa muut olemattomat käyttäjät saivat luvatut edut. Jos todellinen käyttäjä päätti mennä eteenpäin, prosessia simuloitiin luomaan luvattu tulos, mutta jossain vaiheessa tapahtui virhe ja käyttäjää kehotettiin suorittamaan vahvistus manuaalisesti. Tähän sisältyi siirtyminen eri sivustojen välillä ja kysymyksiin vastaaminen päästäkseen vihdoin laillisiin verkkokauppaportaaleihin.
Selitetään tämä hieman paremmin. Ajan säästämiseksi selain täydentää yleensä automaattisesti jo käyttämäsi linkin. Jos huijaan sinut napsauttamaan Amazon-linkkiä viittaustunnuksellani, kun siirryt Amazoniin, selain todennäköisesti täydentää tunnukseni automaattisesti, joten saan prosenttiosuuden jokaisesta tekemästäsi ostoksesta.