Простая атака на цепочку поставок скомпрометировала сотни веб-сайтов и приложений

Простая атака на цепочку поставок скомпрометировала сотни веб-сайтов и приложений

6 июля 2022 г.

Исследователи обнаружили, что простая атака на цепочку поставок NPM привела к компрометации тысяч веб-сайтов и настольных приложений.

По данным ReversingLabs, злоумышленник, известный как IconBurst, создал ряд вредоносных модулей NPM, способных извлекать сериализованные данные форм, и дал им имена, почти идентичные другим законным модулям.

Это популярная техника атаки, известная как типосквоттинг. Злоумышленники, по сути, пытаются выдать себя за личность законных разработчиков. Затем разработчики, которые спешат или не обращают внимания на такие детали, как имена NPM, загружают модули и встраивают их в свою работу.

Десятки тысяч загрузок

"Сходство между доменами, используемыми для эксфильтрации данных, позволяет предположить, что различные модули в этой кампании находятся под контролем одного и того же субъекта", – пояснил Карло Занки, реверс-инженер ReversingLabs.

Команда ранее в этом месяце обратился в отдел безопасности NPM со своими выводами, но некоторые вредоносные пакеты все еще живы.

"Несмотря на то, что некоторые из названных пакетов были удалены из NPM, большинство из них по-прежнему доступны для загрузки на момент составления этого отчета", – добавил Занки. «Поскольку очень немногие организации-разработчики имеют возможность обнаруживать вредоносный код в библиотеках и модулях с открытым исходным кодом, атаки продолжались в течение нескольких месяцев, прежде чем они привлекли наше внимание».

Определить точно, сколько данных было украдено, практически невозможно. , — добавили исследователи. Кампания проводится как минимум с декабря 2021 года. 

"Хотя масштаб этой атаки еще неизвестен, обнаруженные нами вредоносные пакеты, вероятно, используются сотнями, если не тысячами нижестоящих мобильных и настольных приложений, а также веб-сайтов, — сказал Занки.

— Модули NPM, которые определила наша команда, были загружены более 27 000 раз».

Через BleepingКомпьютер


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE