研究人員發現惡意的NPM包從應用程式和網路表單中竊取資料

原文地址：https://thehackernews.com/2022/07/researchers-uncover-malicious-npm.html
翻譯：夢幻的彼岸

至少從2021年12月開始，一個廣泛的軟體供應鏈攻擊已經針對NPM包管理器，其rogue 模組旨在竊取使用者在包含這些模組的網站上輸入的表單資料。

這種被ReversingLabs稱為IconBurst的協同攻擊涉及不少於2 dozen（12） NPM，其中包括混淆的JavaScript，它帶有惡意程式碼，從嵌入下游移動應用程式和網站的表單中收集敏感資料。

安全研究員Karlo Zanki在週二的一份報告中說："這些明顯的惡意攻擊依靠的是打字排版，這是一種技術，攻擊者透過公共資源庫提供名稱與合法軟體包相似--或常見的拼寫錯誤的軟體包，"。"攻擊者冒充高流量的NPM模組，如umbrellajs和由ionic.io釋出的軟體包。

有問題的軟體包，其中大部分是在過去幾個月裡釋出的，到目前為止已經被下載了27000多次。更糟糕的是，大部分模組仍然可以從儲存庫中下載。


下面列出了一些最常下載的惡意模組-

• icon-package (17,774)

• ionicio (3,724)

• ajax-libs (2,440)

• footericon (1,903)

• umbrellaks (686)

• ajax-library (530)

• pack-icons (468)

• icons-package (380)

• swiper-bundle (185), and

• icons-packages (170)
  

在ReversingLabs觀察到的一個例子中，由icon-package洩露的資料被路由到一個名為為ionicio[.]com的域名，一個被設計成類似於合法的ionic[.]io網站的頁面。

該活動背後的惡意軟體作者在最近幾個月進一步改變了他們的策略，從網頁上的每一個表單元素中收集資訊，表明他們採取了積極的資料採集方法。

"Zanki指出："應用程式開發的分散和模組化性質意味著應用程式和服務只有在其最不安全的元件中才會強大。"這次攻擊的成功[......]強調了應用程式開發的自由性，以及惡意程式碼甚至易受攻擊的程式碼進入敏感應用程式和IT環境的門檻較低。"