The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В репозитории NPM выявлено 17 вредоносных пакетов

09.12.2021 22:43

В репозитории NPM выявлено 17 вредоносных пакетов, которые распространялись с использованием тайпсквоттинга, т.е. с назначением имён, похожих на названия популярных библиотек, с расчётом на то, что пользователь допустит опечатку при наборе имени или не заметит различий, выбирая модуль из списка.

Пакеты discord-selfbot-v14, discord-lofy, discordsystem и discord-vilao использовали модифицированный вариант легитимной библиотеки discord.js, предоставляющей функции для взаимодействия с API Discord. Вредоносные компоненты были интегрированы в один из файлов пакета и включали около 4000 строк кода, запутанного с использованием искажения имён переменных, шифрования строк и нарушения форматирования кода. Код сканировал локальную ФС на предмет токенов Discord и в случае выявления отправлял их на сервер злоумышленников.

Пакет fix-error был заявлен как исправляющий ошибки в Discord selfbot, но включал троянское приложение PirateStealer, осуществляющее кражу номеров кредитных карт и учётных записей, связанных с Discord. Вредоносный компонент активировался через подстановку JavaScript-кода в клиент Discord.

Пакет prerequests-xcode включал троян для организации удалённого доступа к системе пользователя, основанный на Python-приложении DiscordRAT.

Предполагается, что доступ к серверам Discord мог потребоваться злоумышленникам для развёртывания точек управления ботнетом, в качестве прокси для загрузки информации со взломанных систем, запутывания следов при совершении атак, распространения вредоносного ПО среди пользователей Discord или перепродажи премиальных аккаунтов.

Пакеты wafer-bind, wafer-autocomplete, wafer-beacon, wafer-caas, wafer-toggle, wafer-geolocation, wafer-image, wafer-form, wafer-lightbox, octavius-public и mrg-message-broker включали код для отправки содержимого переменных окружения, которые, например, могли включать ключи доступа, токены или пароли к системам непрерывной интеграции или облачным окружениям, таким как AWS.

  1. Главная ссылка к новости (https://jfrog.com/blog/malicio...)
  2. OpenNews: GitHub внедряет в NPM обязательную расширенную верификацию учётных записей
  3. OpenNews: Уязвимость, позволявшая выпустить обновление для любого пакета в репозитории NPM
  4. OpenNews: В NPM-пакеты coa и rc, насчитывающие 9 и 14 млн загрузок в неделю, внедрено вредоносное ПО
  5. OpenNews: В NPM-пакет UAParser.js, насчитывающий 8 млн загрузок в неделю, внедрено вредоносное ПО
  6. OpenNews: Уязвимость в NPM, приводящая к перезаписи файлов в системе
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/56318-npm
Ключевые слова: npm
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (42) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, fernandos (ok), 22:54, 09/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Да ну, скучно же уже читать про очередную порцию малваря в нпм.

    И каким же надо быть идиотом, чтобы использовать странную библиотеку с несколькими скачиваниями в неделю?

     
     
  • 2.3, Аноним (3), 23:05, 09/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    При тайпсквотинге никто и не предполагает, что кто-то будет на сайте эти пакеты смотреть. Расчёт на то, что при работе в командной строке или определяя зависимости кто-то опечатается. Судя по сотням загрузок подобные опечатки не редкость.
     
     
  • 3.4, fernandos (ok), 23:13, 09/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так ССЗБ, ну как это: знать, что репозиторий наполняется *пользователями*, никаких гарантий того, что малваря нет, и всё равно так бездумно доверять.
     
     
  • 4.22, Константавр (ok), 07:27, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Для этого надо ещё и достоверно знать название настоящего пакета. А человек не связаный с разработкой дискорда тыркнулся, выбрал более понравившееся название, поворчал 'зачем наплодили столько названий" и получил троянчик. Вообще, это и было изначальное зло, вывести пакеты из под контроля дистрибутива. Ведь вероятность проникновения сторонних пакетов в таком случае снижается почти до нуля.
     
     
  • 5.38, fernandos (ok), 12:05, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А человек не связаный с разработкой дискорда тыркнулся, выбрал более понравившееся название, поворчал 'зачем наплодили столько названий" и получил троянчик

    Простите, но ведь это позор. Если у человека такое отношение к разработке, то что можно ожидать в остальных сферах жизни?

    "Выберу соль свинца вместо поваренной, мне название больше нравится."

     
     
  • 6.42, Аноним (42), 14:55, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Вам бы этот свой элитизм поганый поумерить. Чай сами пользуетесь деньгами не умея в фондовые рынки, вступаете в правовые отношения не зная наизусть законов и катаетесь на машинах не умея перебрать двигатель. Это ли не позор? Или это другое?
     
  • 6.52, Анонимный хомяк (?), 07:24, 11/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не, не так! В магазине на одной полке стоит соль поваренная, соль свинца, сулема, диоцид, каломель и т.д.
     
  • 5.50, Аноним (50), 18:02, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Отдельно надо сказать спасибо некоторым авторам, которые дают одно название либе, а пакету другое
     
  • 3.51, Аноним (51), 02:52, 11/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >  Судя по сотням загрузок подобные опечатки не редкость.

    На статистиску загрузок влияют боты. Для примера можно опубликовать совершенно никому не нужный модуль и по истечении некоторого времени у него тоже будут загрузки.

     
  • 2.27, Аноним (27), 09:27, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >И каким же надо быть идиотом, чтобы использовать странную библиотеку с несколькими скачиваниями в неделю?

    Думаете nodejs используют разумные люди?

     
     
  • 3.29, Аноним (29), 09:31, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Разумные люди используют инструменты, наиболее подходящие для своих задач, и не оглядываются на мнение ламера "Аноним (27)".
     
     
  • 4.30, Аноним (27), 09:57, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Это не инструмент, а игрушка для детей.
     
     
  • 5.31, Аноним (29), 10:15, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И игрушка, и инструмент, и для детей, и для взрослых. Времена, когда с ЭВМ могли работать только ученые, остались в середине прошлого века. Тот факт, что тебя допустили до интернета, это наглядно показывает.
     
  • 5.39, fernandos (ok), 12:07, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да хватит уже, там под капотом В8 --- гениальный движок.

    То, что дети играются с нодой, не делает её игрушкой для детей.

     
     
  • 6.40, Аноним (-), 13:36, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >там под капотом В8 --- гениальный движок.

    Видимо поэтому популярность nodejs резко упала с 50% до 30%.
    Похоже недостатки перевесили возможность нанима ть низкоквалифицированных мартышек.

     
  • 4.48, пох. (?), 16:30, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, а потом - "а чего это у тебя одного глаза нет? - А болгаркой выбило!" - использовал инструмент, наиболее подходящий для своих задач. Не оглядываясь. Ну и подумаешь, глазик...
    Есть же еще второй, для другого инструмента.

     
  • 3.37, fernandos (ok), 12:04, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Думаю, что подобные обобщения крайне глупы.
     

  • 1.2, Rev (?), 23:05, 09/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > В репозитории NPM выявлено 17 вредоносных пакетов

    Не удивили.

     
  • 1.5, Аноним (5), 23:26, 09/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Да вы что? Не может быть.

    p.s. вредоносные пакеты это весь npm

     
  • 1.6, Аноним (6), 23:34, 09/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    а почему эта новость до сих пор не в cron?
     
     
  • 2.12, Аноним (12), 01:46, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > не в cron?

    */10 * * * * user espeak -vru -s 60 "В репозитории NPM выявлены вредоносные пакеты"

     
     
  • 3.53, InuYasha (??), 20:06, 11/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Надо достоверно! Типа bash $(curl google?q="command how to download NPM repo") && scan . | wc -l >> newmalwarez.txt
    и в telecram-cli post OpenNet << "В репозитории NPM выявлено %d вредоносных пакетов" :D
    или лучше rsync npm-mirror.yandex.fu virustotal.com >> i_loled.log

    PS: +1 за espeak )

     

  • 1.7, Аноним (7), 00:10, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Надо вводить понятие вредоустойчивости зависимых библиотек с избыточностью. Так любые зависимости должны основываться на на минимум трех различных библиотеках имеющих идентичную функциональность. И быть написаны разработчиками принадлежащим разным этноконфессиональнорассовым группам для уменьшения рисков одновременного завреднения. Все библиотеки должны использоваться одновременно, но достоверным признавать только результат отдаваемый большинством. В случае если библиотека три раза вернула недостоверный результат, то исключать её из проекта и вместо неё подключать горячую замену (HOT FORK).
     
     
  • 2.8, Аноним (8), 00:44, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Или забить на npm
     
  • 2.9, мимоомыч (?), 01:18, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Этот анон хоть и омыч, но здравое зерно в его словах есть.
    inb4 тоже омыч
     
  • 2.10, виндотролль (ok), 01:26, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    так результат будет таким же. Вредоносная библиотека будет обладать сайдэффектами.

     

  • 1.11, Аноним (12), 01:34, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > В репозитории NPM выявлено 17 вредоносных пакетов

    Fix: В репозитории вредоносных пакетов...

     
     
  • 2.18, Аноним (18), 04:11, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Что не так с NPM?
     
     
  • 3.20, Аноним (12), 06:06, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В нём выявлено 17 вредоносных пакетов
     

  • 1.14, псевдонимус (?), 03:03, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Увидел, схватил, потащил. Сороки-воровки.
     
  • 1.15, псевдонимус (?), 03:04, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Опять в паразитарии с вредоносными пакетами обнаружили вредоносные пакеты..
     
  • 1.17, Аноним (17), 03:37, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Чет мало, всего лишь 17. Раньше и по 70 накрывали за раз, нет?
     
     
  • 2.21, Аноним (12), 06:07, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Маскироваться стали лучше.
     

  • 1.19, BratishkaErik (ok), 04:55, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Сегодня в Log4J уязвимость нашли https://www.lunasec.io/docs/blog/log4j-zero-day/

    Новость сделаю потом, щас я хочу узнать как свой сервер обезопасить

     
     
  • 2.34, Онаним (?), 11:44, 10/12/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Выключить из розетки.
     

  • 1.25, СССР (?), 08:57, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    вот еще один пример популярности яп, т.е. что значит выражение "популярный язык" ? а то и значит что и телефон, с камерой 43 мегапикселя. и стал я замечать что в инсте то и посмотреть толком нечего, безвкуситца, просто заработанное бабло на бессмысленном трафике, показанной рекламе. В противовес встречаются профили где фото сняты на светосильную оптику, а так же на дешовые мобильники но восхищает постановка кадра, постобработка, чувствуется характер. Вот и популяризация тех или иных языков программирования, не увеличивает колличество достойного софта, как и программистов.
     
  • 1.26, Аноним (26), 09:16, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >В репозитории NPM выявлено 17 вредоносных пакетов

    Ничего нового. Было бы очень удивительно, если бы их там не было.

     
  • 1.32, Аноним (32), 11:36, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Когда в репозитории NPM количество вредоносных превысит количество полезных?
     
  • 1.33, Онаним (?), 11:43, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Да блин, на помойке выявлена тухлятина.
    Сюрприз! Сенсация! Невероятно!
     
  • 1.41, ELF (ok), 14:19, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ключевые слова: nmp
    это в тему?
     
  • 1.49, Аноним (49), 16:52, 10/12/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    [N]oxious

    ackage [M]anager (c)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру