Naukowcy odkryli, że pojedynczy atak na łańcuch dostaw NPM doprowadził do skompromitowania tysięcy stron internetowych i aplikacji komputerowych.
Według ReversingLabs złośliwy aktor znany jako IconBurst stworzył serię złośliwych modułów NPM zdolnych do wydobywania danych ze zserializowanych formularzy i nadawania im niemal identycznych nazw do innych legalnych modułów.
Jest to popularna technika ataku znana jako typosquatting. Zasadniczo osoby atakujące próbują podszyć się pod (otwiera się w nowej karcie) legalnych programistów. Następnie programiści, którzy się śpieszą lub nie zwracają uwagi na szczegóły, takie jak nazwy npm, pobierają moduły i integrują je w swojej pracy.
Dziesiątki tysięcy pobrań
„Podobieństwa między domenami wykorzystywanymi do eksfiltracji danych sugerują, że różne moduły tej kampanii są pod kontrolą jednego aktora” – wyjaśnił Karlo Zanki, inżynier wsteczny w ReversingLabs.
Zespół skontaktował się z działem bezpieczeństwa NPM na początku tego miesiąca w sprawie swoich ustaleń, ale niektóre złośliwe pakiety są nadal aktywne.
„Chociaż niektóre z wymienionych pakietów zostały usunięte z NPM, większość jest nadal dostępna do pobrania w momencie tworzenia tego raportu” – dodał Zanki. „Ponieważ bardzo niewiele organizacji programistycznych jest w stanie wykryć złośliwy kod w bibliotekach i modułach typu open source, ataki utrzymywały się przez miesiące, zanim zwróciły naszą uwagę”.
Naukowcy dodali, że ustalenie dokładnej ilości skradzionych danych jest prawie niemożliwe. Kampania trwa co najmniej od grudnia 2021 roku.
„Chociaż zakres tego ataku nie jest jeszcze znany, prawdopodobnie setki, jeśli nie tysiące aplikacji mobilnych i stacjonarnych oraz stron internetowych wykorzystują wykryte przez nas złośliwe pakiety” – powiedział Zanky.
„Moduły NPM zidentyfikowane przez nasz zespół zostały łącznie pobrane ponad 27 000 razy”.
Przez BleepingComputer (Otwiera się w nowej karcie)
