close

NPM供應鏈攻擊可以追溯到2021年12月,當時使用了幾十個包含模糊Javascript代碼的惡意NPM模塊,破壞了數百個下游桌面應用和網站。正如供應鏈安全公司ReversingLabs的研究人員所發現的那樣,在這項被稱為IconBurst的行動背後,威脅行為者會使用仿冒域名去干擾那些正在尋找流行軟件包的開發人員,例如雨傘js和ionic.io NPM 模塊。
如果開發人員被非常相似的模塊命名方案欺騙,威脅行為者將在模塊中添加惡意包,從而把嵌入表單(包括用於登錄的表單)的數據竊取到他們的應用程序或網站。舉個例子,一項活動中使用的一個惡意 NPM 包(icon-package)就有超過 17,000 次下載,旨在將序列化的表單數據泄露到多個攻擊者控制的域。
ReversingLabs的逆向工程師 Karlo Zanki說,「IconBurst 依賴於拼寫錯誤,這是一種攻擊者通過公共存儲庫提供軟件包的技術,這些軟件包的名稱與合法軟件包相似或帶有常見拼寫錯誤。此外,用於泄露數據的域之間的相似性表明,該活動中的各個模塊都在同一個參與者的控制之下。」

IconBurst 惡意 NPM 包的部分列表 (ReversingLabs)

一些惡意模塊仍然可供下載

儘管reveringlabs團隊在2022年7月1日聯繫了NPM安全團隊,報告了他們的發現,一些IconBurst惡意包仍然可以在NPM註冊表中使用。
Zanki補充說:「雖然一些已命名的包已經從NPM中刪除了,但大多數仍然可以下載。由於很少有開發組織有能力檢測開源庫和模塊中的惡意代碼,因此攻擊持續了幾個月才引起我們的注意。」
儘管研究人員可以編制一份IconBurst供應鏈攻擊中使用的惡意軟件包列表,但其影響尚未確定,因為無法知道自2021年12月以來,有多少數據和證書通過受感染的應用程序和網頁被盜。當時唯一可用的指標是每個惡意NPM模塊被安裝的次數,而ReversingLabs的統計數據相當驚人。
Zanki 說:「雖然目前尚不清楚這次攻擊的全部範圍,但我們發現的惡意程序包可能被數百甚至數千個下游移動和桌面應用程序以及網站使用。捆綁在 NPM 模塊中的惡意代碼在數量未知的移動和桌面應用程序和網頁中運行,收集了無數的用戶數據。我們團隊確定的 NPM 模塊的總下載量已超過 27,000 次。」
精彩推薦

卡巴斯基為TinyCheck設立官網,以協助全球受害者做出應對

2022.07.06

今日資訊:漏洞懸賞平台HackerOne員工竊取漏洞信息進行牟利、黑客聲稱攻陷IBM與史丹佛大學

2022.07.05

2022西湖論劍 | 范淵:讓數字世界充滿信任

2022.06.28


註:本文由E安全編譯報道,轉載請聯繫授權並註明來源。


arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()