Модули NPM, PyPI и Gems можно заразить с помощью тайпсквоттинга

Александр Панасенко 10 Июня 2016 - 09:32

...

Модули NPM, PyPI и Gems можно заразить с помощью тайпсквоттинга

Опубликованы результаты эксперимента по использованию методов тайпсквоттинга для распространения вредоносного ПО в репозиториях модулей для языков программирования Python, Node.JS и Ruby. Метод основан на том, что популярные репозитории модулей для разработчиков позволяют любому желающему разместить свою библиотеку.

При этом они не проверяют её содержимое и допуская выполнение произвольного кода в момент установки. В том числе репозитории допускают загрузку библиотек, имена которых почти полностью совпадает с названием других популярных библиотек. Расчёт делается на то, что пользователь допустит опечатку при наборе имени или не заметит различий выбирая модуль из списка. Забегая вперёд можно сказать, что метод позволил получить контроль над более чем 17 тысячами хостов и на 8 тысячах систем выполнить код с правами администратора.

Для оценки эффективности метода в репозиториях PyPI (Python), Npmjs.com (Node.js) и rubygems.org (Ruby) было размещено 214 подставных пакетов, имена для которых были выбраны в соответствии с тремя основными критериями: опечатки в названии (например, coffee-script вместо coffe-script), незарегистрированные варианты имён из стандартной библиотеки (например, urllib2) и имена, вычисленные алгоритмами оценки схожести имён (например, req7est вместо request). В качестве полезной нагрузки в фиктивные модули был добавлен код, отправляющий запрос на сервер сбора статистики. Модули добавлялись в репозитории постепенно в течение нескольких месяцев, чтобы не вызвать подозрений со стороны администраторов, сообщает opennet.ru.

Результат превзошёл все ожидания - на сервере было зафиксировано 45334 запросов от 17289 уникальных хостов. Т.е. если бы метод был применён для организации атаки, то удалось бы захватить управление над более чем 17 тысячами компьютеров, чего более чем достаточно для развёртывания ботнета. Более того, в 43.6% случаев (на 8552 хостах) код был выполнен с правами администратора (!), позволяющими полностью контролировать операционную систему. 15221 хоста были поражены через пакеты PyPi, 1631 через rubygems и 525 через NPM. 8614 захваченных хостов работают под управлением Linux, 6174 - Windows и 4758 - OS X. Наиболее популярным фиктивным пакетом стал urllib2, который за две недели оказался установленным на 3929 системах.

В качестве мер по противостоянию подобным атакам предлагается:

Запретить в пакетных менеджерах выполнение встроенных в пакет обработчиков различных стадий установки, которые позволяют запустить произвольный код на системе пользователя в момент установки модуля;
Подготовить список типовых опечаток и проверять схожесть названий с использованием метода Дамерау — Левенштейна для наиболее популярных пакетов;
Анализировать логи на наличие 404-ошибки (файл не найден) и блокировать фигурирующие в них неверные названия пакетов.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 28 Ноября 2025 - 13:29

Общее Защита от мошенничества Безопасность платежей F6

Банки Беларуси предотвратили 31 тыс. мошенничеств благодаря AntiFraud Club

Российский разработчик F6 сообщил о масштабном расширении AntiFraud Club — профессионального сообщества, которое объединяет банки Беларуси для совместной борьбы с финансовыми мошенниками. В основе работы клуба лежит технология F6 Fraud Protection, позволяющая организациям обмениваться данными об инцидентах и координировать действия в реальном времени.

AntiFraud Club стартовал в Минске в марте 2024 года с участием шести банков. Спустя полтора года сообщество выросло в несколько раз.

На ноябрьской встрече среди участников были: «Альфа-Банк» (ЗАО), «Белагропромбанк», «Банк БелВЭБ», «Белгазпромбанк», «МТБанк», «Нео Банк Азия», «Приорбанк», «СтатусБанк», «Технобанк» и партнёр F6 — «Позитив Вью».

Главная задача клуба — совместно выявлять новые мошеннические схемы, обмениваться инцидентами и внедрять защитные решения.

По оценкам F6, только в 2025 году участники AntiFraud Club предотвратили свыше 31 200 мошеннических попыток, связанных с дистанционным банковским обслуживанием. Чаще всего пользователей атакуют через:

распространение зловредов (включая CraxsRAT и NFCGate);
инвестскам;
фальшивые розыгрыши от имени банков;
взлом аккаунтов в мессенджерах;
фейковые компенсации и мошеннические опросы.

Отдельно эксперты отмечают рост атак с использованием таких зловредов, как CraxsRAT и NFCGate. Аналогичная тенденция наблюдалась и в России: только в феврале 2025 года число заражений CraxsRAT выросло в 2,5 раза и превысило 22 тысячи скомпрометированных Android-устройств.

Главный канал распространения зловредов остаётся прежним — социальная инженерия. Поддельные приложения маскируются под сервисы мобильных операторов, платёжные платформы, VPN, приложения для знакомств или коммунальных услуг. Жертвы устанавливают их по ссылкам из мессенджеров или из неофициальных источников.

Директор департамента розничных рисков «Альфа-Банка» Владимир Короб отмечает, что масштабы и скорость эволюции мошенничества требуют объединения усилий:

«Современные мошенники действуют глобально. ИИ, большие данные, поддельные сервисы — всё это уже реальность. Поэтому важны не только технологии, но и партнёрство. Мы работаем с разработчиками, регулятором, правоохранителями и AntiFraud Club, чтобы сделать платежи максимально надёжными».

Руководитель направления F6 Fraud Protection Дмитрий Ермаков подчёркивает, что эффект от объединения уже заметен:

«Благодаря координации и обмену инцидентами банки Беларуси значительно усилили защиту клиентов. Решения F6 и совместный анализ схем позволяют быстрее реагировать на атаки и снижать риски».

AntiFraud Club продолжает расширяться, а участники готовят новые форматы сотрудничества в борьбе с мошенничеством.