Простая атака на цепочку поставок скомпрометировала сотни веб-сайтов и приложений

Простая атака на цепочку поставок скомпрометировала сотни веб-сайтов и приложений. Фото: СС0

Как сообщает ReversingLabs, злоумышленник под псевдонимом IconBurst создал ряд вредоносных модулей NPM, способных эксфильтровать сериализованные данные формы, и дал им имена, почти идентичные другим законным модулям.

Эта популярная техника атаки называется типосквоттинг. Злоумышленники, по сути, пытаются выдать себя за законных разработчиков. Затем разработчики, которые спешат или не обращают внимания на такие детали, как имена NPM, загружают модули и встраивают их в свою работу.

Из сообщения Карло Занки, реверс-инженера в ReversingLabs:

«Сходство между доменами, используемыми для эксфильтрации данных, позволяет предположить, что различные модули в этой кампании контролируются одним действующим лицом».

В начале этого месяца команда обратилась в отдел безопасности NPM со своими выводами, но некоторые вредоносные пакеты все еще доступны и работают. 

Из сообщения Карло Занки, реверс-инженера в ReversingLabs:

«Хотя некоторые из названных пакетов были удалены из NPM, большинство из них все еще доступны для загрузки на момент написания этого отчета. Поскольку очень немногие организации-разработчики имеют возможность обнаруживать вредоносный код в библиотеках и модулях с открытым исходным кодом, атаки продолжались в течение нескольких месяцев, прежде чем привлекли наше внимание».

Исследователи добавили, что точно определить, сколько данных было украдено, практически невозможно. Кампания действует как минимум с декабря 2021 года. 

Из сообщения Карло Занки, реверс-инженера в ReversingLabs:

«Хотя полный масштаб этой атаки еще не известен, обнаруженные нами вредоносные пакеты, вероятно, используются сотнями, если не тысячами последующих мобильных и настольных приложений, а также веб-сайтов. Модули NPM, определенные нашей командой, были загружены более 27 000 раз».

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Пользователей Google Chrome призывают обновить браузер из-за риска атаки хакеров.
• Бэкдоры Microsoft Exchange используются для шпионажа по всему миру.
• Microsoft исправила серьезную уязвимость, обнаруженную в Service Fabric.
• Google выпустил значительный пакет обновлений для своей службы управления паролями.