Araştırmacılar, basit bir NPM tedarik zinciri saldırısının binlerce web sitesi ve masaüstü uygulamasından ödün verilmesine yol açtığını buldu.
ReversingLabs’a göre, IconBurst olarak bilinen bir tehdit aktörü, serileştirilmiş form verilerini sızdırma yeteneğine sahip bir dizi kötü niyetli NPM modülü yarattı ve onlara diğer meşru modüllerle neredeyse aynı adlar verdi.
Bu, yazım hatası olarak bilinen popüler bir saldırı tekniğidir. Saldırganlar esasen kimlikleri üstlenmeye çalışırlar. (yeni sekmede açılır) meşru geliştiriciler. Ardından acelesi olan veya NPM isimleri gibi detaylara dikkat etmeyen geliştiriciler modülleri indirip işlerine gömüyorlar.
On binlerce indirme
ReversingLabs’ta bir tersine mühendis olan Karlo Zanki, “Verileri sızdırmak için kullanılan alanlar arasındaki benzerlikler, bu kampanyadaki çeşitli modüllerin tek bir aktörün kontrolünde olduğunu gösteriyor” dedi.
Ekip, bulgularıyla bu ayın başlarında NPM güvenlik departmanına ulaştı, ancak bazı kötü amaçlı paketler hala yayında.
Zanki, “Adlandırılmış paketlerden birkaçı NPM’den kaldırılmış olsa da, çoğu bu rapor sırasında hala indirilebilir durumda,” diye ekledi. “Çok az geliştirme organizasyonu açık kaynak kitaplıkları ve modülleri içinde kötü amaçlı kodu tespit etme yeteneğine sahip olduğundan, saldırılar dikkatimizi çekmeden önce aylarca devam etti.”
Araştırmacılar, tam olarak ne kadar verinin çalındığını belirlemenin neredeyse imkansız olduğunu ekledi. Kampanya en az Aralık 2021’den beri yayında.
Zanki, “Bu saldırının tam kapsamı henüz bilinmemekle birlikte, keşfettiğimiz kötü amaçlı paketler muhtemelen yüzlerce, hatta binlerce alt mobil ve masaüstü uygulaması ve web sitesi tarafından kullanılıyor” dedi.
“Ekibimizin belirlediği NPM modülleri toplu olarak 27.000’den fazla indirildi.”
Aracılığıyla BleeBilgisayar (yeni sekmede açılır)