入侵数百个网站和程序,NPM供应链攻击造成的影响不可估量
近期,一次可以追溯到2021年12月的NPM供应链攻击使用了几十个包含模糊Javascript代码的恶意NPM模块,并破坏了数百个应用和网站。正如供应链安全公司ReversingLabs的研究人员所发现的那样,这一行动(被称为IconBurst)背后的威胁行为者针对一些开发者使用URL劫持,如gumbrellajs和ionic.io NPM模块。
他们通过非常相似的模块命名方式来诱骗受害者,添加恶意软件包旨在窃取嵌入表单(包括用于登录的表单)的数据到他们的应用程序或网站。例如,该活动中使用的一个恶意NPM软件包(icon-package)有超过17,000次下载,为的就是将序列化的表单数据窃取到多个攻击者控制的域。ReversingLabs的逆向工程师Karlo Zanki说,IconBurst依赖于URL劫持,这些恶意软件包的名称与合法的文件类似。此外,用于泄露数据的域之间的相似性表明,该活动中的各个模块都在同一个参与者的控制之下。
虽然ReversingLabs 团队于2022年7月1日已联系了NPM安全团队,但NPM注册表中仍然存在一些 IconBurst 恶意软件包。“虽然已经从NPM中删除了一些,但在本报告发布时大多数仍然可供下载,”Zanki说,“由于很少有开发组织能够检测开源库和模块中的恶意代码,因此攻击持续了几个月才引起我们的注意。”
尽管研究人员可以编制一份用于IconBurst供应链攻击的恶意软件包列表,但其影响尚未确定,因为无法知道自去年12月以来通过受感染的应用程序和网页窃取了多少数据和凭据。
当时唯一可用的指标是每个恶意 NPM 模块的安装次数,而ReversingLabs的统计数据相当惊人。“虽然目前尚不清楚这次攻击的全部范围,但我们发现的恶意软件包可能被数百甚至数千个下游移动和桌面应用程序以及网站使用。捆绑在NPM模块中的恶意代码正在未知数量的移动和桌面应用程序和网页中运行并被获取大量用户数据,最后,我们团队确定的NPM 模块的总下载量已超过27,000次。”
参考来源:
https://www.bleepingcomputer.com/news/security/npm-supply-chain-attack-impacts-hundreds-of-websites-and-apps/
精彩推荐
相关文章
- “NPM”的全称(github.com/npm/npm-expansions)
- Linux dos攻击服务器,Linux服务器如何防止DoS攻击
- 从灯泡振动中恢复声音的侧信道攻击
- 多米尼加共和国政府机构遭受勒索软件攻击
- 新闻速读 > McAfee 称疫情期间 52% 被远程攻击的 RDP 用户来自中国,原因是密码太简单
- udp DDOS攻击.c
- Sentinel AMP DDOS攻击.c
- sack DDOS攻击.c
- netbios amp DDOS攻击.c
- 一起针对国内企业OA系统精心策划的大规模钓鱼攻击事件
- MSSQL盲注攻击:安全漏洞的邪恶威胁(mssql盲注工具)
- 注入mssql终结者:安全保护数据库免受命令注入攻击(mssql 止数据库命令)
- 万能Asp防注入代码拒绝攻击
- php攻击方法之谈php+mysql注射语句构造
- 关于跨站脚本攻击问题
- php5系列的apache远程执行漏洞攻击脚本