Các nhà nghiên cứu phát hiện ra các gói NPM độc hại ăn cắp dữ liệu từ các ứng dụng và biểu mẫu web

Quản lý gói NPM

Một cuộc tấn công trên diện rộng đã nhắm mục tiêu vào trình quản lý ít nhất kể từ tháng 12 năm 2021 với các mô-đun giả mạo được thiết kế để lấy cắp dữ liệu do người dùng nhập vào các biểu mẫu trên các trang web bao gồm chúng.

Cuộc tấn công phối hợp, được ReversingLabs đặt tên là IconBurst, liên quan đến không ít hơn hai chục gói NPM bao gồm JavaScript bị xáo trộn, đi kèm với mã độc hại để thu thập dữ liệu nhạy cảm từ các biểu mẫu được nhúng vào các ứng dụng và trang web dành cho thiết bị di động.

Nhà nghiên cứu bảo mật Karlo Zanki cho biết trong một báo cáo hôm thứ Ba: “Những cuộc tấn công rõ ràng là độc hại này dựa trên việc đánh máy, một kỹ thuật trong đó những kẻ tấn công cung cấp các gói thông qua các kho lưu trữ công khai có tên tương tự – hoặc lỗi chính tả phổ biến của – các gói hợp pháp”, nhà nghiên cứu bảo mật Karlo Zanki cho biết trong một báo cáo hôm thứ Ba. “Những kẻ tấn công đã mạo danh các mô-đun NPM có lưu lượng truy cập cao như ô và các gói do ionic.io xuất bản.”

Các gói được đề cập, hầu hết trong số đó đã được xuất bản trong những tháng trước, đã được tải xuống tập thể hơn 27.000 lần cho đến nay. Tệ hơn nữa, phần lớn các mô-đun tiếp tục có sẵn để tải xuống từ kho lưu trữ.

Xem tiếp:   Tin tặc APT cay đắng thêm Bangladesh vào danh sách mục tiêu của họ ở Nam Á

Một số mô-đun độc hại được tải xuống nhiều nhất được liệt kê bên dưới –

icon-package (17.774) ionicio (3.724) ajax-libs (2.440) footericon (1.903) ô (686) ajax-library (530) pack-icon (468) icon-package (380) swiper-pack (185), và biểu tượng-gói (170)

Trong một trường hợp được quan sát bởi ReversingLabs, dữ liệu được lấy ra bởi gói biểu tượng đã được chuyển đến một miền có tên ionicio[.]com, một trang lookalike được thiết kế để giống với ion hợp pháp[.]io trang web.

Các tác giả đằng sau chiến dịch tiếp tục tăng cường các chiến thuật của họ trong những tháng gần đây để thu thập thông tin từ mọi thành phần biểu mẫu trên trang web, cho thấy một cách tiếp cận tích cực để thu thập dữ liệu.

Zanki lưu ý: “Bản chất phân quyền và mô-đun của việc phát triển ứng dụng có nghĩa là các ứng dụng và dịch vụ chỉ mạnh bằng thành phần kém an toàn nhất của chúng”. “Sự thành công của cuộc tấn công này […] nhấn mạnh bản chất tự do của phát triển ứng dụng và các rào cản thấp đối với mã độc hại hoặc thậm chí dễ bị tấn công xâm nhập vào các ứng dụng và môi trường CNTT nhạy cảm. “

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …