H επίθεση IconBurst της εφοδιαστικής αλυσίδας NPM έθεσε σε κίνδυνο εφαρμογές και ιστοτόπους desktop μέσα από κακόβουλα NPM modules.
H επίθεση αυτή που χρονολογείται από τον Δεκέμβριο του 2021 χρησιμοποίησε κακόβουλα NPM modules που περιείχαν ασαφή κώδικα Javascript για να θέσει σε κίνδυνο εκατοντάδες εφαρμογές και websites.
Όπως ανακάλυψαν ερευνητές στην εταιρεία ασφάλειας εφοδιαστικής αλυσίδας ReversingLabs, οι παράγοντες απειλών πίσω από αυτήν την καμπάνια (γνωστή ως IconBurst) χρησιμοποίησαν το typosquatting για να μολύνουν προγραμματιστές που αναζητούσαν πολύ δημοφιλή packages, όπως το umbrellajs και τα ionic.io NPM modules.
Εάν είχαν ξεγελαστεί από το πολύ παρόμοιο σχήμα ονοματοδοσίας των module, θα πρόσθεταν τα κακόβουλα packages που έχουν σχεδιαστεί για την κλοπή δεδομένων από ενσωματωμένες φόρμες (συμπεριλαμβανομένων αυτών που χρησιμοποιούνται για είσοδο) στις εφαρμογές ή τους ιστότοπούς τους.
Για παράδειγμα, ένα από τα κακόβουλα NPM packages που χρησιμοποιούνται σε αυτήν την καμπάνια (icon-package) έχει πάνω από 17.000 λήψεις και έχει σχεδιαστεί για να διεισδύει σειριακά δεδομένα φόρμας σε διάφορα domains ελεγχόμενα από τους εισβολείς.
Το IconBurst «βασίστηκε στο τυπογραφικό squatting, μια τεχνική κατά την οποία οι εισβολείς προσφέρουν packages μέσω δημόσιων αποθετηρίων με ονόματα παρόμοια με — ή με κοινά ορθογραφικά λάθη— των νόμιμων packages», δήλωσε ο Karlo Zanki, ένας reverse engineer στο ReversingLabs.
Δείτε επίσης: Υπάλληλος της HackerOne απέκτησε παράνομη πρόσβαση σε bug reports
«Επιπλέον, οι ομοιότητες μεταξύ των domains που χρησιμοποιούνται για την εξαγωγή δεδομένων υποδηλώνουν ότι οι διάφορα modules σε αυτήν την καμπάνια βρίσκονται υπό τον έλεγχο ενός μεμονωμένου παράγοντα.»
Ενώ η ομάδα του ReversingLabs επικοινώνησε με την ομάδα ασφαλείας του NPM την 1η Ιουλίου 2022, για να αναφέρει τα ευρήματά της, ορισμένα κακόβουλα IconBurst packages εξακολουθούν να είναι διαθέσιμα στο NPM registry.
«Ενώ μερικά από τα ονομαζόμενα packages έχουν αφαιρεθεί από το NPM, τα περισσότερα εξακολουθούν να είναι διαθέσιμα για λήψη τη στιγμή που το αναφέρουμε αυτό», πρόσθεσε ο Zanki.
«Καθώς πολύ λίγοι οργανισμοί ανάπτυξης έχουν τη δυνατότητα να ανιχνεύουν κακόβουλο κώδικα σε libraries και modules ανοιχτού κώδικα, οι επιθέσεις παρέμειναν για μήνες πριν έρθουν στην αντίληψή μας».
Παρόλο που οι ερευνητές μπόρεσαν να συντάξουν μια λίστα με κακόβουλα packages που χρησιμοποιούνται στην IconBurst επίθεση της αλυσίδας εφοδιασμού, το αντίκτυπό της δεν έχει ακόμη προσδιοριστεί, καθώς δεν υπάρχει τρόπος να γνωρίζουμε πόσα δεδομένα και διαπιστευτήρια έχουν κλαπεί μέσω μολυσμένων εφαρμογών και ιστοσελίδων από τον Δεκέμβριο. 2021.
Οι μόνες διαθέσιμες μετρήσεις αυτήν τη στιγμή είναι ο αριθμός των φορών που έχει εγκατασταθεί κάθε κακόβουλο NPM module και τα στατιστικά του ReversingLabs είναι αρκετά εντυπωσιακά.
Δείτε επίσης: Λευκός Οίκος: Προετοιμαστείτε για cryptography-cracking κβαντικούς υπολογιστές
«Αν και η πλήρης έκταση αυτής της IconBurst επίθεσης δεν είναι ακόμη γνωστή, τα κακόβουλα packages που ανακαλύψαμε πιθανότατα χρησιμοποιούνται από εκατοντάδες, αν όχι χιλιάδες μεταγενέστερες εφαρμογές για κινητά και επιτραπέζιους υπολογιστές, καθώς και ιστότοπους», είπε ο Zanki.
«Κακόβουλος κώδικας που ομαδοποιείται στα NPM modules εκτελείται σε έναν άγνωστο αριθμό εφαρμογών και ιστοσελίδων για κινητές συσκευές και επιτραπέζιους υπολογιστές, συγκεντρώνοντας ανείπωτες ποσότητες δεδομένων χρήστη.»
«Τα NPM modules που εντόπισε η ομάδα μας έχουν ληφθεί συλλογικά περισσότερες από 27.000 φορές.»
Πηγή: bleepingcomputer.com
