Исследователи обнаружили, что единственная атака на цепочку поставок NPM привела к компрометации тысяч веб-сайтов и настольных приложений.
Согласно ReversingLabs, злоумышленник, известный как IconBurst, создал серию вредоносных модулей NPM, способных извлекать данные из сериализованных форм и давать им имена, практически идентичные другим законным модулям.
Это популярная техника атаки, известная как типосквоттинг. По сути, злоумышленники пытаются выдать себя (opens in a new tab) за законных разработчиков. Затем разработчики, которые спешат или не обращают внимания на такие детали, как имена npm, загружают модули и интегрируют их в свою работу.
Десятки тысяч загрузок
«Сходство между доменами, используемыми для извлечения данных, позволяет предположить, что различные модули этой кампании находятся под контролем одного и того же субъекта», — пояснил Карло Занки, реверс-инженер в ReversingLabs.
Ранее в этом месяце команда связалась с отделом безопасности NPM, чтобы сообщить о своих выводах, но некоторые вредоносные пакеты все еще активны.
«Хотя некоторые из названных пакетов были удалены из NPM, большинство из них все еще доступны для загрузки на момент написания этого отчета», — добавил Занки. «Поскольку очень немногие организации-разработчики имеют возможность обнаруживать вредоносный код в библиотеках и модулях с открытым исходным кодом, атаки продолжались в течение нескольких месяцев, прежде чем они привлекли наше внимание».
Исследователи добавили, что точно определить, сколько данных было украдено, практически невозможно. Кампания активна как минимум с декабря 2021 года.
«Хотя масштабы этой атаки пока неизвестны, вполне вероятно, что обнаруженные нами вредоносные пакеты используются сотнями, если не тысячами, мобильных и настольных приложений и веб-сайтов», — сказал Занки.
«Модули NPM, определенные нашей командой, были загружены более 27 000 раз».
Через BleepingComputer (откроется в новой вкладке)