Forskarna fann att en enkel attack på NPM:s försörjningskedja äventyrade tusentals webbplatser och stationära applikationer.
Enligt ReversingLabs har ett hot känt som IconBurst skapat ett antal skadliga NPM-moduler som kan exfiltrera serialiserade data från formulär och gett dem namn nästan identiska med andra legitima moduler.
Detta är en populär attackteknik som kallas typosquatting. Angripare försöker i huvudsak anta en identitet (öppnas i ny flik) till legitima utvecklare. Utvecklare som har bråttom eller inte uppmärksammar detaljer som NPM-namn laddar sedan ner modulerna och bäddar in dem i sitt arbete.
Tiotusentals nedladdningar
“Likheterna mellan de domäner som används för att exfiltrera data tyder på att de olika modulerna i den här kampanjen är under kontroll av en enda aktör”, förklarade Carlo Zanchi, omvänd ingenjör på ReversingLabs.
Teamet kontaktade NPM:s säkerhetsavdelning tidigare denna månad med sina upptäckter, men några skadliga paket är fortfarande aktiva.
“Även om några av de angivna paketen har tagits bort från NPM, är de flesta fortfarande tillgängliga för nedladdning vid tidpunkten för denna rapport,” tillade Zanki. “Eftersom väldigt få utvecklingsorganisationer har förmågan att upptäcka skadlig kod i bibliotek och moduler med öppen källkod, fortsatte attackerna i månader innan de kom till vår kännedom.”
Att bestämma exakt hur mycket data som stulits är nästan omöjligt, tillade forskarna. Kampanjen är aktiv från minst december 2021.
“Även om den fullständiga omfattningen av denna attack inte är känd ännu, används de skadliga paketen vi upptäckt sannolikt av hundratals, om inte tusentals, nedströms mobila och stationära applikationer samt webbplatser,” sa Zankey.
“NPM-modulerna som vårt team identifierade har samlats ned mer än 27 000 gånger.”
Genom BleepingComputer (öppnas i ny flik)
https://www.techradar.com/news/simple-supply-chain-attack-compromises-hundreds-of-websites-and-apps/
