В репозитории NPM выявлены четыре пакета, пересылающие данные о пользователе
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
В репозитории NPM выявлена вредоносная активность в четырёх пакетах, включающих preinstall-скрипт, который перед установкой пакета отправлял на GitHub комментарий с информацией об IP-адресе, местоположении, логине, модели CPU и домашнем каталоге пользователя. Вредоносный код был найден в пакетах electorn (255 загрузок), lodashs (78 загрузок), loadyaml (48 загрузок) и loadyml (37 загрузок).
Проблемные пакеты были размещены в NPM c 17 по 24 августа для распространения с использованием тайпсквоттинга, т.е. с назначением имён похожих на названия других популярных библиотек с расчётом на то, что пользователь допустит опечатку при наборе имени или не заметит различий, выбирая модуль из списка. Судя по числу загрузок на данную уловку попалось около 400 пользователей, большая часть которая спутала electorn с electron. В настоящее время пакеты electorn и loadyaml уже удалены администрацией NPM, а пакеты lodashs и loadyml были удалены автором.
Мотивы злоумышленников неизвестны, но предполагается, что утечка информации через GitHub (комментарий отправлялся через Issue и в течение суток удалялся) могла быть выполнена в ходе эксперимента для оценки эффективности метода, или была запланирована атака в несколько стадий, на первой из которых собирались данные о жертвах, а на второй, которая не была воплощена в жизнь из-за блокировки, злоумышленники намеревались выпускалось обновление с включением в новом выпуске более опасного вредоносного кода или бэкдора.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://blog.sonatype.com/sona...)
- OpenNews: В NPM-пакете fallguys выявлена вредоносная активность
- OpenNews: Лишь 9.27% мэйнтейнеров пакетов NPM используют двухфакторную аутентификацию
- OpenNews: Уязвимость в NPM, позволяющая изменить произвольные файлы при установке пакета
- OpenNews: В репозитории NPM выявлен вредоносный пакет bb-builder. Выпуск NPM 6.11
- OpenNews: В зависимостях к npm-пакету с установщиком PureScript выявлены вредоносные изменения
Похожие новости:
- [JavaScript, Программирование, Разработка веб-сайтов] Основные команды bash, git, npm и yarn, а также немного о package.json и semver
- [IT-инфраструктура, Информационная безопасность, Исследования и прогнозы в IT, Реверс-инжиниринг] Loki 1.8: досье на молодой и подающий надежды Data Stealer
- [JavaScript, Node.JS] Nested Sets для Javascript
- [JavaScript, TypeScript] SEO npm-пакета: почему важно правильно настраивать конфиг и писать тесты
- [Node.JS, Open source, Системы сборки] Сборка сложных Node.js проектов утилитой run-z
- [JavaScript, Node.JS, Разработка веб-сайтов] Безопасность npm-проектов, часть 1
- В NPM-пакете fallguys выявлена вредоносная активность
- [Информационная безопасность, Разработка веб-сайтов, JavaScript] Как npm обеспечивает безопасность
- Выявлен червь FritzFrog, поражающий серверы по SSH и строящий децентрализованный ботнет
- [Информационная безопасность] Чуть сложнее, чем кажется: как атакует группировка TinyScouts
Теги для поиска: #_npm, #_malware
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 23-Ноя 00:27
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
В репозитории NPM выявлена вредоносная активность в четырёх пакетах, включающих preinstall-скрипт, который перед установкой пакета отправлял на GitHub комментарий с информацией об IP-адресе, местоположении, логине, модели CPU и домашнем каталоге пользователя. Вредоносный код был найден в пакетах electorn (255 загрузок), lodashs (78 загрузок), loadyaml (48 загрузок) и loadyml (37 загрузок).  Проблемные пакеты были размещены в NPM c 17 по 24 августа для распространения с использованием тайпсквоттинга, т.е. с назначением имён похожих на названия других популярных библиотек с расчётом на то, что пользователь допустит опечатку при наборе имени или не заметит различий, выбирая модуль из списка. Судя по числу загрузок на данную уловку попалось около 400 пользователей, большая часть которая спутала electorn с electron. В настоящее время пакеты electorn и loadyaml уже удалены администрацией NPM, а пакеты lodashs и loadyml были удалены автором. Мотивы злоумышленников неизвестны, но предполагается, что утечка информации через GitHub (комментарий отправлялся через Issue и в течение суток удалялся) могла быть выполнена в ходе эксперимента для оценки эффективности метода, или была запланирована атака в несколько стадий, на первой из которых собирались данные о жертвах, а на второй, которая не была воплощена в жизнь из-за блокировки, злоумышленники намеревались выпускалось обновление с включением в новом выпуске более опасного вредоносного кода или бэкдора. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 23-Ноя 00:27
Часовой пояс: UTC + 5