近日,一场追溯到2021年12月的NPM供应链攻击使用了数十个包含混淆Javascript代码的恶意NPM模块,并破坏了数百个应用程序和网站.正如供应链安全公司ReversingLabs的研究人员所发现的那样,该活动(称为IconBurst)背后的威胁行为者针对一些使用URL劫持的开发人员,例如gumbrellajs和ionic.ioNPM模块。他们用非常相似的模块命名来引诱受害者,添加旨在从嵌入式表单窃取数据的恶意包,包括用于登录到他们的应用程序或网站的表单。例如,活动中使用的恶意NPM包(图标包)的下载量超过17,000次,目的是将序列化表单数据泄露到多个攻击者控制的域。ReversingLabs的逆向工程师KarloZanki表示,IconBurst依赖于URL劫持,即名称与合法文件相似的恶意包。此外,用于泄露数据的域之间的相似性表明,该活动中的各个模块都在同一参与者的控制之下。尽管ReversingLabs团队已于2022年7月1日联系了NPM安全团队,但NPM注册表中仍然存在一些IconBurst恶意软件包。“虽然一些已从NPM中删除,但在本报告发布时大多数仍可供下载,”Zanki说。我们花了几个月的时间才引起我们的注意。”虽然研究人员能够编制IconBurst供应链攻击中使用的恶意软件包列表,但影响尚未确定,因为无法知道自上次以来哪些应用程序和网页通过了受感染的应用程序和网页十二月。有多少数据和凭据被盗。当时唯一可用的指标是每个恶意NPM模块的安装数量,而ReversingLabs的统计数据非常惊人。“虽然这次攻击的全部范围尚不清楚,但我们发现的恶意包可能会被数百甚至数千个下游移动和桌面应用程序和网站使用。捆绑在NPM模块中的恶意代码正在被未知数量的利用在移动和桌面应用程序和网页中运行并收集大量用户数据,最终,我们的团队确定了总下载量超过27,000次的NPM模块。》参考来源:https://www.bleepingcomputer.com/news/security/npm-supply-chain-attack-impacts-hundreds-of-websites-and-apps/
