近期，一次可以追溯到2021年12月的NPM供應(yīng)鏈攻擊使用了幾十個(gè)包含模糊Javascript代碼的惡意NPM模塊，并破壞了數(shù)百個(gè)應(yīng)用和網(wǎng)站。正如供應(yīng)鏈安全公司ReversingLabs的研究人員所發(fā)現(xiàn)的那樣，這一行動(dòng)(被稱(chēng)為IconBurst)背后的威脅行為者針對(duì)一些開(kāi)發(fā)者使用URL劫持，如gumbrellajs和ionic.io NPM模塊。

他們通過(guò)非常相似的模塊命名方式來(lái)誘騙受害者，添加惡意軟件包旨在竊取嵌入表單(包括用于登錄的表單)的數(shù)據(jù)到他們的應(yīng)用程序或網(wǎng)站。例如，該活動(dòng)中使用的一個(gè)惡意NPM軟件包（icon-package）有超過(guò)17,000次下載，為的就是將序列化的表單數(shù)據(jù)竊取到多個(gè)攻擊者控制的域。ReversingLabs的逆向工程師Karlo Zanki說(shuō)，IconBurst依賴(lài)于URL劫持，這些惡意軟件包的名稱(chēng)與合法的文件類(lèi)似。此外，用于泄露數(shù)據(jù)的域之間的相似性表明，該活動(dòng)中的各個(gè)模塊都在同一個(gè)參與者的控制之下。

雖然ReversingLabs 團(tuán)隊(duì)于2022年7月1日已聯(lián)系了NPM安全團(tuán)隊(duì)，但NPM注冊(cè)表中仍然存在一些 IconBurst 惡意軟件包。“雖然已經(jīng)從NPM中刪除了一些，但在本報(bào)告發(fā)布時(shí)大多數(shù)仍然可供下載，”Zanki說(shuō)，“由于很少有開(kāi)發(fā)組織能夠檢測(cè)開(kāi)源庫(kù)和模塊中的惡意代碼，因此攻擊持續(xù)了幾個(gè)月才引起我們的注意?！?/p>

盡管研究人員可以編制一份用于IconBurst供應(yīng)鏈攻擊的惡意軟件包列表，但其影響尚未確定，因?yàn)闊o(wú)法知道自去年12月以來(lái)通過(guò)受感染的應(yīng)用程序和網(wǎng)頁(yè)竊取了多少數(shù)據(jù)和憑據(jù)。

當(dāng)時(shí)唯一可用的指標(biāo)是每個(gè)惡意 NPM 模塊的安裝次數(shù)，而ReversingLabs的統(tǒng)計(jì)數(shù)據(jù)相當(dāng)驚人?！半m然目前尚不清楚這次攻擊的全部范圍，但我們發(fā)現(xiàn)的惡意軟件包可能被數(shù)百甚至數(shù)千個(gè)下游移動(dòng)和桌面應(yīng)用程序以及網(wǎng)站使用。捆綁在NPM模塊中的惡意代碼正在未知數(shù)量的移動(dòng)和桌面應(yīng)用程序和網(wǎng)頁(yè)中運(yùn)行并被獲取大量用戶數(shù)據(jù)，最后，我們團(tuán)隊(duì)確定的NPM 模塊的總下載量已超過(guò) 27,000 次?！?/p>

參考來(lái)源：https://www.bleepingcomputer.com/news/security/npm-supply-chain-attack-impacts-hundreds-of-websites-and-apps/