Un singolo attacco alla catena di approvvigionamento NPM ha portato alla compromissione di migliaia di siti Web e applicazioni desktop, hanno scoperto i ricercatori.
Secondo ReversingLabs, un attore malintenzionato noto come IconBurst ha creato una serie di moduli NPM dannosi in grado di esfiltrare dati da moduli serializzati e dare loro nomi quasi identici ad altri moduli legittimi.
Questa è una tecnica di attacco popolare nota come typosquatting. Fondamentalmente, gli aggressori cercano di impersonare (si apre in una nuova scheda) sviluppatori legittimi. Quindi gli sviluppatori che hanno fretta o non prestano attenzione a dettagli come i nomi npm scaricano i moduli e li integrano nel loro lavoro.
Decine di migliaia di download
"Le somiglianze tra i domini utilizzati per esfiltrare i dati suggeriscono che i diversi moduli di questa campagna sono sotto il controllo di un singolo attore", ha spiegato Karlo Zanki, reverse engineer di ReversingLabs.
Il team ha contattato il dipartimento di sicurezza di NPM all'inizio di questo mese con i risultati, ma alcuni pacchetti dannosi sono ancora attivi.
"Sebbene alcuni dei pacchetti nominati siano stati rimossi da NPM, la maggior parte è ancora disponibile per il download al momento di questo rapporto", ha aggiunto Zanki. "Poiché pochissime organizzazioni di sviluppo hanno la capacità di rilevare codice dannoso nelle librerie e nei moduli open source, gli attacchi sono persistiti per mesi prima di arrivare alla nostra attenzione".
Determinare esattamente quanti dati sono stati rubati è quasi impossibile, hanno aggiunto i ricercatori. La campagna è attiva almeno da dicembre 2021.
"Sebbene la portata di questo attacco non sia ancora nota, è probabile che centinaia, se non migliaia, di app e siti Web mobili e desktop stiano utilizzando i pacchetti dannosi che abbiamo scoperto", ha affermato Zanky.
"I moduli NPM identificati dal nostro team sono stati scaricati collettivamente più di 27 volte."
Tramite BleepingComputer (si apre in una nuova scheda)