- सात अॅडस्पेक्ट-क्लोक्ड एनपीएम पॅकेजेसमध्ये ट्रॅफिक फिल्टरिंग, बनावट कॅप्चा आणि संशोधन-विरोधी युक्त्या वापरल्या गेल्या; एकाने फसवणूक म्हणून काम केले.
- "इंडोनेशियनफूड्स" नावाच्या मोठ्या प्रमाणावरील स्पॅमने निष्क्रिय स्क्रिप्ट्स, नमुनेदार नामकरण आणि अवलंबित्व साखळीचा वापर करून रजिस्ट्रीमध्ये पाणी भरले.
- व्याप्ती दहा हजारांवरून 150,000 पेक्षा जास्त पॅकेजेसपर्यंत वाढवली; Amazon Inspector आणि OpenSSF ने MAL-ID आणि टेकडाउनचे समन्वय साधले.
- कमी करण्यामध्ये अवलंबित्व ऑडिट, मर्यादित प्रकाशन अधिकार, निष्क्रिय फायलींसाठी SCA, दर मर्यादा, SBOM आणि मजबूत खाते पडताळणी यांचा समावेश आहे.
जावास्क्रिप्ट इकोसिस्टमचे सर्वात व्यस्त केंद्र म्हणून, एनपीएम रजिस्ट्री एकाच वेळी दोन अतिशय भिन्न धोक्यांना तोंड देत आहे: पॅकेजेसचा एक छोटा संच जो वापरकर्त्यांना क्लोकिंगद्वारे शांतपणे पुनर्निर्देशित करतो आणि एक विस्तृत मोहीम जी क्रिप्टो रिवॉर्ड्सचा पाठलाग करण्यासाठी जंक मोठ्या प्रमाणात प्रकाशित करते. दोन्ही मुद्दे, वेगळे असले तरी, परिचित अंतर उघड करतात पुरवठा साखळी संरक्षण.
अनेक संघांमधील संशोधकांनी असे नोंदवले आहे की हल्लेखोरांनी ट्रॅफिक क्लॉकिंग, ऑटोमेशन आणि ओपन-सोर्स वितरण एकत्र केले. एकतर बळींना अंधकारमय ठिकाणी नेण्यासाठी किंवा अभूतपूर्व प्रमाणात कमी-मूल्याच्या पॅकेजेसने निर्देशांक भरून टाकण्यासाठी. जेव्हा रेलिंग हल्लेखोरांच्या सर्जनशीलतेपेक्षा मागे पडतात तेव्हा समुदायाविरुद्ध प्रोत्साहने आणि साधने कशी विकृत केली जाऊ शकतात हे या प्रकरणांवरून स्पष्ट होते.
क्लोकिंग-आधारित रीडायरेक्ट्स एनपीएम पॅकेजेस ट्रॅफिक गेट्समध्ये बदलतात.
तपासकर्त्यांनी एकाच घटकाशी जोडलेले सात एनपीएम पॅकेजेस ओळखले जे खऱ्या वापरकर्त्यांना संशोधकांपासून वेगळे करण्यासाठी अॅडस्पेक्ट सेवा वापरा आणि खरे पेलोड लपवा"dino_reborn" नावाच्या आता काढून टाकलेल्या खात्याशी संबंधित हे पॅकेजेस सप्टेंबर ते नोव्हेंबर २०२५ दरम्यान दिसले आणि डाउनलोडची संख्या कमीत कमी शेकडो होती.
सहा पॅकेजेसमध्ये अंदाजे ३९ केबीचा घटक होता जो वातावरणाचे फिंगरप्रिंट घेते, ब्राउझरमध्ये डेव्हलपर टूलिंग ब्लॉक करते (विश्लेषणात अडथळा आणण्यासाठी), आणि एकदा आयात केल्यानंतर जावास्क्रिप्टच्या IIFE पॅटर्नद्वारे ताबडतोब कार्यान्वित होते. सातवे पॅकेज, "सिग्नल-एम्बेड", वेगळे दिसले. एक निरुपद्रवी पांढरे पान बनावट म्हणून वितरित करणे उघडपणे दुर्भावनापूर्ण वर्तन करण्यापेक्षा.
जेव्हा इम्प्लांट केलेल्या साइट्स लोड केल्या जातात, तेव्हा ट्रॅफिक प्रॉक्सी एंडपॉइंटद्वारे पाठवला जातो association-googlexyz/adspect-proxyphp, जे पाहुणा पीडित किंवा संशोधकासारखा दिसतो हे ठरवण्यास मदत करते. पीडित म्हणून टॅग केल्यास, वापरकर्त्याला एक बनावट कॅप्चा दिसतो जो शेवटी सेवांचे प्रतिरूपण करणाऱ्या क्रिप्टो-थीम असलेल्या पृष्ठांकडे फॉरवर्ड करते (उदा., स्टँडएक्स). जर संभाव्य विश्लेषक म्हणून ध्वजांकित केले गेले, तर पृष्ठ एक साधा बनावट दृश्य दर्शविते आणि त्यात ऑफलिडो नावाच्या काल्पनिक कंपनीशी संबंधित बॉयलरप्लेट देखील समाविष्ट आहे.
अॅडस्पेक्ट स्वतःला एक म्हणून मार्केट करते बॉट्स किंवा एव्ही क्रॉलर्स सारख्या "अवांछित" ट्रॅफिकला ब्लॉक करण्यासाठी क्लाउड क्लोकिंग सेवा, टायर्ड प्लॅन ऑफर करत आहे आणि "बुलेटप्रूफ क्लोकिंग" चे आश्वासन देत आहे. हे अॅड-टेक स्टाईल फिल्टरिंग पाहून एम्बेडेड एनपीएम पॅकेजेसमध्ये असामान्य राहते आणि संशोधकांनी ते प्रभावीपणे नोंदवले आहे ट्रॅफिक-गेटिंग लॉजिक ओपन-सोर्स डिस्ट्रिब्युशनमध्ये गुंडाळते त्यामुळे कोड रिअल टाइममध्ये ठरवतो की खरा पेलोड कोणाला मिळेल.
कारण मालमत्ता लोड होताच लॉजिक चालते, वर्तन ट्रिगर करण्यासाठी वापरकर्त्याच्या संवादाची आवश्यकता नाही.. तात्काळ अंमलबजावणीचा प्रवाह - आणि डेव्हलपर टूल्सवरील ब्राउझर-स्तरीय ब्लॉक्स - विश्लेषण गुंतागुंतीचे करतात आणि आकस्मिक तपासणीसाठी योजना नजरेआड ठेवण्यास मदत करतात.
टोकन रिवॉर्ड्सद्वारे चालवले जाणारे एक विस्तृत एनपीएम स्पॅम ऑपरेशन
एका वेगळ्या विकासात, सुरक्षा पथकांना एक विस्तृत संच सापडला स्पॅमी एनपीएम पॅकेजेस सुमारे दोन वर्षांत लाटांमध्ये प्रकाशित, सुरुवातीला सौम्य वाटले परंतु प्रतिकृती आणि आर्थिक फायद्यासाठी डिझाइन केलेले. एकत्रितपणे "इंडोनेशियन फूड्स" म्हणून ओळखले जाणारे, या प्रयत्नात एक सुसंगत नामकरण योजना वापरली गेली जी जोडते अन्नपदार्थांसह यादृच्छिक इंडोनेशियन पहिली नावे आणि विविध प्रत्यय वापरून हजारो प्रशंसनीय-ध्वनी पॅकेजेस तयार होतात.
वरवर पाहता, अनेक नोंदी वैध वाटत होत्या—काही पाठवल्या गेल्या होत्या फंक्शनल Next.js टेम्पलेट्स. पण आतमध्ये न वापरलेल्या फायली पुरल्या होत्या जसे की ऑटो.जेएस or प्रकाशित करास्क्रिप्ट.जेएस ते, जेव्हा मॅन्युअली चालवले जाते, उच्च वेगाने नवीन पॅकेजेस तयार केले, बदललेल्या आवृत्त्या आणि काढून टाकलेल्या गोपनीयता रेलिंग्ज. हे खरोखरच स्वायत्त वर्म्ससारखे वर्तन नसून, लाँच करण्यास सोपे ऑटोमेशन आहे ज्यामुळे जलद प्रमाणात वाढ झाली.
स्पॅमच्या जाळ्यात अनेकदा आठ ते दहा इतर बनावट अवलंबित्वे संदर्भित केली जात असत, अवलंबित्व साखळ्यांमधून प्रभाव वाढवणे. एक स्थापित करा, आणि npm शांतपणे डझनभर अधिक काढू शकेल, डेव्हलपर्सच्या मशीनना कोणतेही तात्काळ, स्पष्ट नुकसान न होता रजिस्ट्री क्लटर वाढवेल.
कमाई करणे हे याशी जोडलेले दिसते टीईए प्रोटोकॉलचे ओपन-सोर्स रिवॉर्ड्स. अनेक पॅकेजेस समाविष्ट आहेत. चहा.यामल विशिष्ट खाती आणि वॉलेट पत्त्यांकडे निर्देश करणे - प्रयत्न सुचवणे इम्पॅक्ट स्कोअर वाढवा आणि टोकन पेआउट्स काढा. काही प्रकरणांमध्ये दस्तऐवजीकरणात या कमाईचा उल्लेखही करण्यात आला, ज्यामुळे यादृच्छिक प्रयोगांऐवजी समन्वित, नफा-चालित योजनेची कल्पना अधिक दृढ झाली.
वेगवेगळ्या संशोधन गटांनी वेगवेगळ्या टप्प्यांवर लाट मोजली: निष्कर्ष यापासून मोहिमेच्या सुरुवातीला अंदाजे ४३,००० स्पॅम अपलोड झाले नंतर १००,००० पेक्षा जास्त, सह अमेझॉन इन्स्पेक्टरने अखेर १,५०,०००+ पॅकेजेसची तक्रार केली नोव्हेंबर २०२५ च्या मध्यापर्यंत अनेक खात्यांमध्ये. वाढ उघड झाली नोंदणी दर मर्यादा, मेटाडेटा तपासणी आणि पॅटर्न डिटेक्शन लक्ष देण्याची गरज असलेल्या क्षेत्रांमध्ये.
स्कॅनर्सनी ते का चुकवले आणि काय बदलले
ही मोहीम इतकी लांब राहण्याचे एक प्रमुख कारण म्हणजे बहुतेक स्वयंचलित टूलिंग शोधतात इन्स्टॉल-टाइम मालवेअर— उदाहरणार्थ, संशयास्पद पोस्टइंस्टॉल हुक किंवा फाइल-सिस्टम क्रियाकलाप. येथे, पेलोड निष्क्रिय आणि संदर्भित नव्हता, म्हणून सामान्य ह्युरिस्टिक्सने ते निरुपद्रवी असे लेबल केले. सक्रिय ट्रिगरशिवाय, स्कॅनर वारंवार अतिरिक्त फायलींना सौम्य गोंधळ म्हणून हाताळले.
आणखी एक घटक म्हणजे प्रकाशनाचे प्रमाण आणि लय: स्क्रिप्ट्स दर काही सेकंदांनी नवीन पॅकेजेस पुश करू शकतात, क्लासिक मालवेअर स्वाक्षरींना अडथळा न आणता प्रचंड प्रमाणात व्हॉल्यूम तयार करणे. अहवालांमध्ये असे नमूद केले आहे की अनेक सुरक्षा डेटा सिस्टम्समध्ये सल्लागारांचा भरणा होता, ज्यामध्ये मोठ्या प्रमाणात वाढ झाली होती OSV-लिंक्ड अलर्ट.
ऑक्टोबर २०२५ च्या अखेरीस, Amazon Inspector ने एक नवीन शोध नियम लागू केला. एआय-चालित पॅटर्निंगसह जोडलेले tea.yaml ची उपस्थिती, क्लोन केलेला किंवा किमान कोड, अंदाजे नामकरण, स्वयंचलित पिढीचे फिंगरप्रिंट्स आणि वर्तुळाकार अवलंबित्व साखळी यासारख्या स्पष्ट वैशिष्ट्यांना ओळखण्यासाठी. नोव्हेंबरच्या सुरुवातीला नमुन्यांची पुष्टी केल्यानंतर, टीमने ओपन सोर्स सिक्युरिटी फाउंडेशन (ओपनएसएसएफ) MAL-IDs जलद नियुक्त करण्यासाठी - सरासरी टर्नअराउंड सुमारे 30 मिनिटे होते.
एक महत्त्वाचा मुद्दा: काही सुरुवातीच्या भाष्यांनी मोहिमेला "अळी" म्हटले होते. त्यानंतरच्या अपडेट्सने स्पष्ट केले की प्रतिकृती तर्क स्वयं-प्रसारित नाही.; ती अंमलात आणलीच पाहिजे. ती सुधारणा महत्त्वाची आहे, पण परिणाम -जलद, औद्योगिक पॅकेजेसचा पूर—अजूनही रजिस्ट्री पायाभूत सुविधा आणि विश्वास ताणलेला आहे.
एक्सपोजर कमी करण्यासाठी व्यावहारिक पावले
संस्थांनी npm जोखीम कमी करण्यासाठी खालील गोष्टींचा अवलंब करावा: एक सतत, स्तरित प्रक्रिया, धोरण आणि नोंदणी-जागरूक नियंत्रणांसह सक्रिय अवलंबित्व स्वच्छता मिसळणे. खालील उपाय संशोधक आणि परिसंस्थेचे व्यवस्थापक काय सल्ला देत आहेत ते प्रतिबिंबित करतात.
- ज्ञात-वाईट प्रकाशकांच्या सूचींविरुद्ध अवलंबित्वे सत्यापित करा आणि संशयास्पद किंवा कमी दर्जाचे पॅकेजेस काढून टाका..
- npm प्रकाशन प्रतिबंधित करा CI/CD आणि पडताळणी केलेल्या देखभालकर्त्यांना परवानग्या; प्रतिकृती स्क्रिप्टची अपघाती अंमलबजावणी रोखणे.
- सक्षम सॉफ्टवेअर रचना विश्लेषण (SCA) स्वीकारा निष्क्रिय फायली, नमुनेदार नामकरण किंवा वर्तुळाकार अवलंबित्व जाळे ध्वजांकित करणे.
- परिचय दर मर्यादा आणि वर्तणुकीचे निरीक्षण मोठ्या प्रमाणात सबमिशनसाठी; कॅप्चा आणि कठोर खाते पडताळणीचा विचार करा.
- तुमची पाइपलाइन कडक करा एसबीओएम, आवृत्ती पिनिंग आणि आयसोलेटेड सीआय/सीडी, तसेच कठोर स्वाक्षरी आणि मूळ तपासणी.
एकत्रित केल्यावर, हे उपाय दुर्भावनापूर्ण किंवा हाताळणीचे वर्तन ओळखणे सोपे बनवताना रजिस्ट्री आवाज कमी करा.जर एखादा वाईट पॅकेज आलेखात आला तर ते ब्लास्ट रेडियस देखील कमी करतात.
दोन्ही घटनांमध्ये, मार्गरेषा सोपी आहे: हल्लेखोर प्रोत्साहने आणि अंध बिंदूंचा पाठलाग करतात. विश्लेषकांना बळींपासून फिल्टर करणारे क्लॉकिंग लॉजिक असो किंवा कायदेशीर कामाला अडथळा आणणारे ऑटोमेटेड टोकन-फार्मिंग असो, याचे उत्तर चांगले दृश्यमानता, जलद सहकार्य आणि गैरवापर अधिक कठीण आणि महागडे बनवणाऱ्या धोरणांमध्ये आहे.
