Исследователи обнаружили, что простая атака на цепочку поставок NPM привела к компрометации тысяч веб-сайтов и настольных приложений.
Согласно ReversingLabs, злоумышленник, известный как IconBurst, создал ряд вредоносных модулей NPM, способных эксфильтровать сериализованные данные формы, и дал им имена, почти идентичные другим законным модулям.
Это популярная техника атаки, известная как типосквоттинг. Злоумышленники, по сути, пытаются выдать себя за (откроется в новой вкладке) законных разработчиков. Затем разработчики, которые спешат или не обращают внимания на такие детали, как имена NPM, загружают модули и встраивают их в свою работу.
Десятки тысяч загрузок
«Сходство между доменами, используемыми для эксфильтрации данных, позволяет предположить, что различные модули в этой кампании контролируются одним действующим лицом», — пояснил Карло Занки, реверс-инженер в ReversingLabs.
В начале этого месяца команда обратилась в отдел безопасности NPM со своими выводами, но некоторые вредоносные пакеты все еще живы.
«Хотя некоторые из названных пакетов были удалены из NPM, большинство из них все еще доступны для загрузки на момент написания этого отчета», — добавил Занки. «Поскольку очень немногие организации-разработчики имеют возможность обнаруживать вредоносный код в библиотеках и модулях с открытым исходным кодом, атаки продолжались в течение нескольких месяцев, прежде чем привлекли наше внимание».
Исследователи добавили, что точно определить, сколько данных было украдено, практически невозможно. Кампания действует как минимум с декабря 2021 года.
«Хотя полный масштаб этой атаки еще не известен, обнаруженные нами вредоносные пакеты, вероятно, используются сотнями, если не тысячами последующих мобильных и настольных приложений, а также веб-сайтов», — сказал Занки.
«Модули NPM, определенные нашей командой, были загружены более 27 000 раз».