Новости Репозитории npm заполонили вредоносные пакеты, которые приводят к DoS-атаке

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Причём здесь Aliexpress и Telegram-каналы о криптовалюте?


r1ofa0fza5z0ssi0tl6j5w5swu2fpktm.jpg


Специалисты ИБ-компании Checkmarx Для просмотра ссылки Войди или Зарегистрируйся , что злоумышленники распространяют в репозиториях npm поддельные пакеты, которые приводят к DoS -атаке.

Киберпреступники публикуют пустые пакеты со ссылками на заранее созданные вредоносные сайты. Атака основана на то, что репозитории с открытым исходным кодом имеют доверие среди пользователей и занимают более высокое место в результатах поиска. Хакеры пользуются этим, чтобы создавать мошеннические сайты и загружать пустые npm-модули со ссылками на эти сайты в файлах «README.md».

Каждый пакет не содержит ничего, кроме файла «readme», который отображается на странице пакета и содержит уникальную короткую ссылку на мошеннический сайт с контекстом исходного npm-пакета.

Нагрузка, создаваемая автоматизированными скриптами, делала NPM нестабильным из-за спорадических ошибок «Service Unavailable».


97n7x4c2rnzyrseis9oqmzyl96w5yo9p.png


«Поскольку экосистемы с открытым исходным кодом пользуются высокой репутацией в поисковых системах, любые новые пакеты и их описания наследуют эту хорошую репутацию и хорошо индексируются поисковыми системами, что делает их более заметными для ничего не подозревающих пользователей», — пояснили в Checkmarx.


00ob09r22x57h28o6jjr10q12j2cp8rw.png


Учитывая, что весь процесс автоматизирован, нагрузка, создаваемая публикацией многочисленных пакетов, приводила к периодическим проблемам со стабильностью NPM к концу марта 2023 года.

По словам Checkmarx, за кампанией может стоять несколько хакеров, и конечной целью атак является заражение системы жертвы вредоносными программами, такими как RedLine Stealer, Glupteba , Smoke Loader и XMRig .

Другие ссылки ведут пользователей через ряд промежуточных страниц, которые в конечном итоге перенаправляют на легитимные e-commerce сайты, в том числе реферальные ссылки на AliExpress, которые приносят прибыль мошенникам, когда жертва совершает покупку на платформе. Третья «категория» ссылок приглашает российских пользователей вступить в Telegram-канал, специализирующемуся на криптовалюте.

Масштабы кампании не уточняются, но эксперты отметили, что последствия атак значительны, так как из-за нагрузки работа NPM стала нестабильной. Чтобы предотвратить такие автоматизированные кампании, Checkmarx порекомендовал npm использовать методы защиты от ботов во время создания учетной записи пользователя.
 
Источник новости
www.securitylab.ru

Похожие темы