-
09/04/2020
-
85
-
553 bài viết
Các gói NPM độc hại đánh cắp dữ liệu từ ứng dụng và biểu mẫu web
Một cuộc tấn công chuỗi cung ứng phần mềm trên diện rộng nhắm mục tiêu vào trình quản lý gói NPM kể từ tháng 12 năm 2021. Các mô-đun giả mạo được thiết kế để lấy cắp dữ liệu khi người dùng nhập vào các biểu mẫu trên các trang web.
Cuộc tấn công được ReversingLabs đặt tên là IconBurst, liên quan đến khoảng 20 gói NPM có chứa mã JavaScript đã bị xáo trộn, đi kèm với mã độc hại để thu thập dữ liệu nhạy cảm từ các biểu mẫu được nhúng vào các ứng dụng di động và trang web.
Nhà nghiên cứu Karlo Zanki cho biết: “Các cuộc tấn công được thực hiện theo hình thức typo-squatting (đánh máy). Cụ thể, những kẻ tấn công lạm dụng các kho lưu trữ để phát tán các gói có tên gần giống, thường được tạo ra do các lỗi chính tả phổ biến - tên các gói hợp pháp. Những kẻ tấn công đã mạo danh các mô-đun NPM có lưu lượng truy cập cao như umbrellajs và các gói do ionic.io đã phát hành."
Các gói NPM hầu hết đã xuất bản tháng trước và đã được tải xuống khoảng 27.000 lần. Tin đáng buồn hơn là phần lớn các mô-đun vẫn đang cho phép tải xuống từ kho lưu trữ.
Danh sách các mô-đun độc hại được tải xuống nhiều nhất:
Zanki lưu ý: "Sự phi tập trung hóa và bản chất mô-đun của phát triển ứng dụng có nghĩa là độ vững bền của các ứng dụng và dịch vụ chỉ tương đương với thành phần kém an toàn nhất.”
Cuộc tấn công được ReversingLabs đặt tên là IconBurst, liên quan đến khoảng 20 gói NPM có chứa mã JavaScript đã bị xáo trộn, đi kèm với mã độc hại để thu thập dữ liệu nhạy cảm từ các biểu mẫu được nhúng vào các ứng dụng di động và trang web.
Nhà nghiên cứu Karlo Zanki cho biết: “Các cuộc tấn công được thực hiện theo hình thức typo-squatting (đánh máy). Cụ thể, những kẻ tấn công lạm dụng các kho lưu trữ để phát tán các gói có tên gần giống, thường được tạo ra do các lỗi chính tả phổ biến - tên các gói hợp pháp. Những kẻ tấn công đã mạo danh các mô-đun NPM có lưu lượng truy cập cao như umbrellajs và các gói do ionic.io đã phát hành."
Các gói NPM hầu hết đã xuất bản tháng trước và đã được tải xuống khoảng 27.000 lần. Tin đáng buồn hơn là phần lớn các mô-đun vẫn đang cho phép tải xuống từ kho lưu trữ.
Danh sách các mô-đun độc hại được tải xuống nhiều nhất:
- icon-package (17.774 lần)
- ionicio (3.724 lần)
- ajax-libs (2.440 lần)
- footericon (1.903 lần)
- umbrellaks (686 lần)
- ajax-library (530 lần)
- pack-icons (468 lần)
- icons-package (380 lần)
- swiper-bundle (185 lần)
- icons-packages (170 lần)
Zanki lưu ý: "Sự phi tập trung hóa và bản chất mô-đun của phát triển ứng dụng có nghĩa là độ vững bền của các ứng dụng và dịch vụ chỉ tương đương với thành phần kém an toàn nhất.”
Theo Thehackernews