npm ला दुहेरी धोके आहेत: मोठ्या प्रमाणात स्पॅम वाढ आणि क्लोक्ड रीडायरेक्ट्स

होम पेज » python ला » npm ला दुहेरी धोके आहेत: मोठ्या प्रमाणात स्पॅम वाढ आणि क्लोक्ड रीडायरेक्ट्स

ओपन-सोर्स पुरवठा साखळ्यांच्या वाढत्या तपासणी दरम्यान, एनपीएम रजिस्ट्रीला दोन वेगळ्या धोक्यांनी हादरवले आहे: टीईए टोकन रिवॉर्ड्सशी जोडलेला एक विस्तीर्ण, प्रोत्साहन-चालित पॅकेज महापूर आणि एक लहान संच क्लॉक्ड रीडायरेक्टर पॅकेजेस जे निवडकपणे बळींना लक्ष्य करतात. दोन्ही मोहिमा ऑटोमेशन आणि सूक्ष्मतेवर अवलंबून आहेत, जे दर्शविते की संधीसाधू जगातील सर्वाधिक वापरल्या जाणाऱ्या जावास्क्रिप्ट इकोसिस्टमचा किती लवकर फायदा घेऊ शकतात.

पूरग्रस्तांचे प्रयत्न वाढले असताना १,५०,००० ध्वजांकित पॅकेजेस अनेक खात्यांमध्ये, क्लोक्ड रीडायरेक्टर स्पष्टपणे लपण्यासाठी संशोधन-विरोधी युक्त्यांवर अवलंबून होते. एकत्रितपणे, ते सततच्या अंतरांवर प्रकाश टाकतात नोंदणी प्रशासन, अवलंबित्व स्वच्छता, आणि पारंपारिक इंस्टॉल-टाइम मालवेअर वर्तनांवर खूपच लक्ष केंद्रित करणाऱ्या शोध धोरणे.

इंडोनेशियन फूड्स पॅकेजच्या आत महापूर

"इंडोनेशियन फूड्स" हे अनौपचारिक नाव असलेल्या मोहिमेत हजारो विश्वासार्ह दिसणारे पॅकेजेस तयार करण्यासाठी - सामान्य इंडोनेशियन प्रथम नावे अन्न संज्ञा आणि संख्यात्मक रूपांसह जोडून - एक नमुनादार नामकरण योजना वापरली गेली. पूर्वीच्या मोजमापांनी ओळखले की 43,000 प्रविष्ट्या प्रयत्नांशी जोडलेले; नंतरच्या अहवालांमध्ये १००,००० हून अधिक लोकांचा उल्लेख करण्यात आला आणि त्यानंतरच्या घोटाळ्यांचा पर्दाफाश झाला 150,000 वर रजिस्ट्री ओलांडून.

जरी अनेक बंडल वैध दिसत असले तरी - काही तर कार्यरत होते Next.js टेम्पलेट्स—त्यांनी निष्क्रिय कोड (उदा. auto.js किंवा publishScript.js) काढून टाकला. मॅन्युअली लाँच केल्यावर, त्या स्क्रिप्टने यादृच्छिक आवृत्त्या बनवल्या, नवीन नावे तयार केली आणि लूपवर नवीन पॅकेजेस प्रकाशित केल्या, ज्यामध्ये दर काही सेकंदांनी बर्स्ट्स वेगाने दिसून येत होते आणि दावा केला जातो की एका धावेमुळे दररोज १७,०००+ पॅकेजेस.

हे मोठ्या प्रमाणात उत्पादन क्वचितच वेगळे केले गेले; वैयक्तिक नोंदी अनेकदा इतर स्पॅम पॅकेजेसकडे निर्देश करणाऱ्या आठ ते दहा अवलंबित्वे घोषित करत असत, ज्यामुळे एक स्वयं-संदर्भित जाळी तयार होत असे. निव्वळ परिणाम म्हणजे सामान्यवर अवलंबून न राहता एक किडासारखा पसरलेला प्रसार होता. पोस्टइंस्टॉल हुक किंवा उघडपणे दुर्भावनापूर्ण वर्तन, ज्यामुळे अनेक स्कॅनर शांत राहिले.

आर्थिक प्रोत्साहनांमुळे या प्रयत्नांना चालना मिळाली आहे असे दिसते. संशोधकांना आढळले चहा.यामल आक्रमणकर्त्या-नियंत्रित पॅकेजेसमधील फायली विशिष्ट खाती आणि क्रिप्टो वॉलेटचा संदर्भ देतात, ज्याचा उद्देश TEA प्रभाव स्कोअरचा वापर करणे आणि टोकन रिवॉर्ड्सचा दावा करणे हे असल्याचे दिसून येते. विश्लेषणे टप्प्याटप्प्याने उत्क्रांती दर्शवितात: २०२३ मध्ये एक मोठा स्पॅम बेस, २०२४ मध्ये TEA मुद्रीकरण सिग्नल आणि २०२५ मध्ये अत्यंत स्वयंचलित प्रतिकृती कार्यप्रवाह.

हे लक्षात घेण्यासारखे आहे की काही संशोधनांनी नंतर स्पष्ट केले की प्रतिकृती आहे पूर्णपणे स्वायत्त नाही; पेलोड ट्रिगर करणे आवश्यक आहे. तरीही, एकदा सुरू झाल्यानंतर, प्रकाशन लूप आणि पॅटर्न-चालित नामकरण मोठ्या प्रमाणात व्हॉल्यूम आणि रजिस्ट्री नॉइज वाढवते.

नोंदणी प्रदूषणाचा शोध, प्रतिसाद आणि प्रमाण

ऑक्टोबरच्या अखेरीस Amazon Inspector च्या संशोधकांनी AI शी जोडलेले नवीन नियम लागू केले आणि tea.xyz शी संबंधित संशयास्पद क्रियाकलापांना त्वरित ध्वजांकित केले. काही दिवसांतच, टीमने हजारो नोंदी ओळखल्या; नोव्हेंबरच्या मध्यापर्यंत, सह समन्वयित काम ओपन सोर्स सिक्युरिटी फाउंडेशन यामुळे MAL-ID वेगाने नियुक्त केले गेले—बहुतेकदा सुमारे 30 मिनिटांत—अखेर मॅपिंग केले गेले १,५०,०००+ पॅकेजेस मोहिमेशी जोडलेले.

इतर सुरक्षा पथकांनी मोठ्या प्रमाणात परिणाम पाहिले. तयार होणाऱ्या सूचनांच्या संख्येमुळे डेटा सिस्टमवर ताण आला आणि भेद्यतेवर अवलंबून असलेल्या प्लॅटफॉर्मने लाटा नोंदवल्या नवीन नोंदी स्पॅमशी संबंधित. संशोधकांनी या घटनेचे वर्णन अभूतपूर्व आकाराचे केले आणि चेतावणी दिली की उच्च प्रमाणात ऑटोमेशन आणि क्रॉस-अकाउंट समन्वयामुळे प्रतिसाद आणि साफसफाई सामान्य एक-वेळच्या तडजोडींपेक्षा अधिक जटिल बनते.

ओळखपत्रांची चोरी किंवा मागच्या दाराने नसतानाही, धोके स्पष्ट आहेत: कायम नोंदणी प्रदूषण ज्यामुळे कायदेशीर पॅकेजेस नष्ट होतात, पायाभूत सुविधा आणि बँडविड्थचा अनावश्यक वापर होतो आणि मूल्यापेक्षा व्हॉल्यूमला जास्त महत्त्व देणारा धोकादायक आदर्श निर्माण होतो. या युक्तीने धमकी देणाऱ्यांना नंतर आवाजाच्या दरम्यान हानिकारक अपडेट्स मिळविण्यासाठी जागा निर्माण होते.

स्कॅनर्सनी ते का चुकवले—आणि काय बदलत आहे

बहुतेक सुरक्षा टूलिंग पोस्टइंस्टॉल स्क्रिप्ट्स, नेटवर्क बीकन्स किंवा संशयास्पद फाइल ऑपरेशन्स सारख्या इन्स्टॉल-टाइम रेड फ्लॅगवर भर देतात. येथे, निष्क्रिय फाइल्स कोणत्याही कोड पाथद्वारे संदर्भित केल्या जात नव्हत्या, म्हणून स्कॅनर त्यांना वारंवार निष्क्रिय मानत असत. अभाव दर मर्यादित करणे, कमकुवत मेटाडेटा तपासणी आणि मोठ्या प्रमाणात प्रकाशित कलाकृतींसाठी मर्यादित पॅटर्न डिटेक्शनमुळे दोन गोष्टी घडल्या: उच्च-थ्रूपुट अपलोड अनचेक केले गेले आणि समन्वित क्लस्टर्स रडारच्या खाली राहिले.

संशोधकांचे म्हणणे आहे की हा भाग इकोसिस्टम-स्तरीय हाताळणीकडे एक बदल दर्शवितो ज्यामुळे चालते आर्थिक प्रोत्साहने. एका लोकप्रिय पॅकेजशी तडजोड करण्याऐवजी, हल्लेखोरांना अनेक लहान नोंदींमध्ये प्रभाव वाढवण्यास प्रोत्साहित केले जाते, सिग्नल अस्पष्ट केले जातात आणि विश्वास कमी केला जातो. यामुळे अधिक कठोर नोंदणी धोरणे, समृद्ध वर्तणुकीय विश्लेषणे आणि चांगले समुदाय समन्वय आवश्यक आहे.

• प्रकाशन बंद करा: npm प्रकाशन CI/CD आणि अधिकृत देखभालकर्त्यांपुरते मर्यादित करा; मोठ्या प्रमाणावरील क्रियाकलापांसाठी अधिक मजबूत ओळख तपासणी आवश्यक आहे.
• एससीए कव्हरेज सुधारा: निष्क्रिय फायली, पुनरावृत्ती नमुने आणि वर्तुळाकार अवलंबित्व जाळे ध्वजांकित करा; नॉन-इंस्टॉल-टाइम जोखीम समोर आणणारी साधने पसंत करा.
• स्फोट त्रिज्या मर्यादित करा: पिन आवृत्त्या, SBOM राखणे आणि CI/CD वेगळे करणे; रजिस्ट्री लेयरवर मोठ्या प्रमाणात सबमिशनसाठी दर मर्यादा आणि कॅप्चा जोडा.
• सतत ऑडिट करा: कमी दर्जाचे आणि कार्य न करणारे पॅकेजेस काढून टाका; असामान्य नामकरण, आवृत्ती बदलणे आणि खाते क्लस्टरिंगचे निरीक्षण करा.

अ‍ॅडस्पेक्ट-क्लोक्ड रीडायरेक्टर पॅकेजेस पृष्ठभाग

एका वेगळ्या एनपीएम घटनेत सात पॅकेजेस समाविष्ट होत्या ज्याला "" म्हणून ओळखले जाणारे वापरकर्ता प्रकाशित करत होता. डायनो_पुनर्जन्म सप्टेंबर ते नोव्हेंबर २०२५ दरम्यान. सहा नोंदींमध्ये एक कॉम्पॅक्ट, अंदाजे ३९ केबी पेलोड होता जो अभ्यागतांच्या फिंगरप्रिंटसह आला आणि संशोधकांना फिल्टर करण्यासाठी अॅडस्पेक्ट नावाची ट्रॅफिक-क्लोकिंग सेवा वापरली, तर "सिग्नल-एम्बेड" एक फसवणूक म्हणून काम करत असे.

• सिग्नल-एम्बेड (३४२ डाउनलोड)
• dsidospsodlks (१८४ डाउनलोड)
• applicationooks21 (३४० डाउनलोड)
• अॅप्लिकेशन-phskck (१९९ डाउनलोड)
• इंटिग्रेटर-फाइल्सक्रिप्ट२०२५ (१९९ डाउनलोड)
• इंटिग्रेटर-२८२९ (२७६ डाउनलोड)
• इंटिग्रेटर-२८३० (३४२ डाउनलोड)

ब्राउझर वातावरणात लोड केल्यावर दुर्भावनापूर्ण कोड ताबडतोब अंमलात आणला जातो ताबडतोब आवाहन केलेले फंक्शन एक्सप्रेशन (IIFE). त्याने सिस्टम फिंगरप्रिंट मिळवला, विश्लेषणाला अडथळा आणण्यासाठी डेव्हलपर टूल्स ब्लॉक करण्याचा प्रयत्न केला आणि दाखवायचे की नाही हे ठरवण्यासाठी प्रॉक्सी एंडपॉइंटचा सल्ला घेतला. बनावट कॅप्चा ज्यामुळे शेवटी पीडितांना स्टँडएक्स सारख्या सेवांची तोतयागिरी करून क्रिप्टो-थीम असलेल्या ठिकाणी पुनर्निर्देशित केले गेले. जर अभ्यागत संशोधक असल्याचे दिसून आले, तर त्याऐवजी एक साधा पांढरा पृष्ठ - ऑफलिडो नावाच्या बनावट अस्तित्वाचे संदर्भ असलेले - प्रदर्शित केले गेले.

अ‍ॅडस्पेक्ट स्वतःला क्लाउड-आधारित अँटी-फ्राउड प्लॅटफॉर्म म्हणून मार्केट करते ज्यामध्ये "बुलेटप्रूफ क्लोकिंग" असते, जे टायर्ड सबस्क्रिप्शन प्लॅनद्वारे दिले जाते. सप्लाय-चेन पॅकेजेसमध्ये त्याची उपस्थिती असामान्य आहे आणि संशोधकांचा असा युक्तिवाद आहे की अ‍ॅडस्पेक्ट लॉजिकला एनपीएम मॉड्यूल्ससह एकत्रित केल्याने एक स्वयंपूर्ण वाहतूक-गेटिंग टूलकिट: डेव्हलपर चॅनेलद्वारे वितरण, ब्राउझरमध्ये अंमलबजावणी आणि केवळ संभाव्य बळींनाच वास्तविक पेलोडचे निवडक प्रदर्शन.

संघ आणि नोंदणीसाठी व्यावहारिक पावले

विकास संघांसाठी, सर्वात सुरक्षित तात्काळ पावले म्हणजे प्रकाशन नियंत्रणे कडक करणे, प्राधान्याने निष्क्रिय कलाकृती पकडणारे डिटेक्टर, आणि अवलंबित्व वृक्षांमधून शंकास्पद पॅकेजेस काढून टाका. रजिस्ट्री स्टीवर्डसाठी, सबमिशन थ्रॉटल जोडणे, मेटाडेटा विश्लेषण सुधारणे आणि नामकरण नमुन्यांसाठी विसंगती शोधण्यात बेकिंग करणे आणि क्रॉस-अकाउंट क्लस्टरिंग स्पॅमर्ससाठी मर्यादा वाढवायला हव्यात.

बदलत्या प्रोत्साहनांमध्ये आणि वाढत्या औद्योगिक रणनीतींमध्ये, एनपीएमच्या बचावकर्त्यांना एका वेगळ्या प्रकारच्या आव्हानाचा सामना करावा लागतो: जेव्हा हल्लेखोर पैसे कमवू शकतात संसर्ग होण्यापेक्षा पूर, उपद्रव आणि जोखीम यांच्यातील रेषा अरुंद होते - आणि दक्षता, सहकार्य आणि हुशार नियंत्रणे हेच एकमेव शाश्वत प्रतिसाद बनतात.