Pojedynczy atak na łańcuch dostaw zagraża setkom stron internetowych i aplikacji

Pojedynczy atak na łańcuch dostaw zagraża setkom stron internetowych i aplikacji

Badacze odkryli, że pojedynczy atak na łańcuch dostaw NPM doprowadził do naruszenia bezpieczeństwa tysięcy stron internetowych i aplikacji komputerowych.

Według ReversingLabs złośliwy aktor znany jako IconBurst stworzył serię złośliwych modułów NPM zdolnych do wydobywania danych z serializowanych formularzy i nadawania im nazw niemal identycznych z innymi legalnymi modułami.

Jest to popularna technika ataku znana jako typosquatting. Zasadniczo napastnicy próbują podszyć się pod (otwiera się w nowej karcie) legalnych programistów. Następnie programiści, którym się spieszy lub nie zwracają uwagi na szczegóły, takie jak nazwy npm, pobierają moduły i integrują je ze swoją pracą.

Dziesiątki tysięcy pobrań

„Podobieństwa między domenami używanymi do eksfiltracji danych sugerują, że różne moduły tej kampanii są pod kontrolą jednego aktora” – wyjaśnił Karlo Zanki, inżynier wsteczny w ReversingLabs.

Na początku tego miesiąca zespół skontaktował się z działem bezpieczeństwa NPM w sprawie swoich ustaleń, ale niektóre szkodliwe pakiety są nadal aktywne.

„Chociaż niektóre z wymienionych pakietów zostały usunięte z NPM, większość z nich była nadal dostępna do pobrania w momencie pisania tego raportu” – dodał Zanki. „Ponieważ bardzo niewiele organizacji programistycznych jest w stanie wykryć złośliwy kod w bibliotekach i modułach open source, ataki trwały miesiącami, zanim zwróciły naszą uwagę”.

Naukowcy dodali, że dokładne określenie, ile danych zostało skradzionych, jest prawie niemożliwe. Kampania jest aktywna co najmniej od grudnia 2021 roku.

„Chociaż zakres tego ataku nie jest jeszcze znany, jest prawdopodobne, że setki, jeśli nie tysiące aplikacji i witryn mobilnych i stacjonarnych korzystają ze szkodliwych pakietów, które wykryliśmy” – powiedział Zanky.

„Moduły NPM zidentyfikowane przez nasz zespół zostały pobrane łącznie ponad 27 000 razy”.

Przez BleepingComputer (Otwiera się w nowej karcie)