Наводнение вредоносными NPM пакетами, приводящее к отказу в обслуживании

security IOC
Опубликовано

Вредоносные кампании, направленные на экосистемы с открытым исходным кодом, вызывают поток спама, отравление SEO и заражение вредоносным ПО.

  • Угрожающие субъекты создают вредоносные веб-сайты и публикуют пустые пакеты со ссылками на эти вредоносные веб-сайты, пользуясь хорошей репутацией экосистем с открытым исходным кодом в поисковых системах.
  • Атаки вызвали отказ в обслуживании (DoS), который сделал работу NPM нестабильной и привел к появлению спорадических ошибок "Service Unavailable".
  • Кампании включали в себя кампанию по заражению вредоносным ПО, кампанию по мошенничеству с рефералами, связанную с AliExpress, и кампанию по мошенничеству с криптовалютами, направленную на российских пользователей в Telegram.
  • Были выявлены различные МОК, включая доменные имена, IP-адреса и URL-адреса.

Очевидно, злоумышленники сочли непроверенные экосистемы с открытым исходным кодом легкой мишенью для SEO-отравления для различных вредоносных кампаний. До тех пор, пока имя не раскрыто, они могут публиковать неограниченное количество пакетов.

Обычно количество версий пакетов, выпущенных на NPM, составляет около 800 000. Однако в предыдущем месяце эта цифра превысила 1,4 миллиона из-за большого количества спам-кампаний.

При этом методе атаки злоумышленники создают вредоносные сайты и публикуют пустые пакеты со ссылками на эти вредоносные сайты. Поскольку экосистемы с открытым исходным кодом имеют высокую репутацию в поисковых системах, любые новые пакеты с открытым исходным кодом и их описания наследуют эту хорошую репутацию и становятся хорошо проиндексированными в поисковых системах, что делает их более заметными для ничего не подозревающих пользователей.

Indicators of Compromise

Domains

  • aapu.at
  • api2.check-data.xyz
  • bebekmanti.com
  • beelowers.com
  • iplis.ru
  • potunulit.org
  • server13.cdneurops.pics
  • sun6-20.userapi.com
  • sun6-22.userapi.com

URLs

  • http://15.204.49.142/files/123.exe
  • http://163.123.143.4/download/Service.vmp
  • http://163.123.143.4/download/Service_.vmp
  • http://163.123.143.4/download/WWW14.bmp
  • http://193.233.20.29/games/category/index.php
  • http://193.233.20.29/games/category/Plugins/clip.dll
  • http://193.233.20.29/games/category/Plugins/cred.dll
  • http://193.233.20.35/gallery/photo_007.exe
  • http://194.110.203.101/puta/brazilx86.exe
  • http://208.67.104.60/api/firegate.php
  • http://208.67.104.60/api/tracemap.php
  • http://230320051222585.btl.jbc75.shop/f/fsbm0320.exe
  • http://45.12.253.56/advertisting/plus.php?s=NOSUB&str=mixtwo&substr=mixinte
  • http://45.12.253.72/default/puk.php
  • http://45.12.253.72/default/stuk.php
  • http://45.12.253.74/pineapple.php?pub=mixinte
  • http://45.12.253.75/dll.php
  • http://65.109.226.91/0ab626f8f67208ad.php
  • http://94.142.138.113/api/firecom.php
  • http://94.142.138.113/api/tracemap.php
  • http://94.142.138.131/api/firegate.php
  • http://94.142.138.131/api/tracemap.php
  • http://aapu.at/tmp/
  • http://hugersi.com/dl/6523.exe
  • http://ji.ghwiwwff.com/m/oskg25
  • http://potunulit.org/
Похожие записи:
  1. IconBurst IOCs
  2. CuteBoi Company IOCs
  3. Sows Havoc Malware IOCs
  4. Пакеты NPM использовались для распространения фишинговых ссылок
Medium npm
Добавить комментарий