Злоумышленники пытались нарушить цепочку поставок npm с помощью десятков вредоносных модулей.
https://www.securitylab.ru/upload/ib...4647d3162f.png
Широкомасштабная хакерская кампания началась еще в декабре 2021 года. Исследователи из ReversingLabs назвали ее IconBurst и сообщили, что злоумышленники используют не менее двух десятков вредоносных npm-пакетов с обфусицированным JavaScript-кодом внутри, который использовался для сбора личных данных жертв.
По словам специалистов, хакеры опираются на тайпсквоттинг , выдавая свои вредоносные пакеты за легитимные. Чтобы обмануть разработчиков, злоумышленники давали пакетам имена, похожие на легитимные, после чего загружали их в публичные репозитории.
Чаще всего хакеры подделывали популярные npm-модули, такие как umbrellajs или ionic.io. Вредоносные пакеты были скачаны более 27 000 раз, а некоторые из них до сих пор доступны для скачивания. Ниже приведен список самых популярных пакетов и количество скачиваний:<ul><li>icon-package (17,774)</li>
</ul><ul><li>ionicio (3,724)</li>
</ul><ul><li>ajax-libs (2,440)</li>
</ul><ul><li>footericon (1,903)</li>
</ul><ul><li>umbrellaks (686)</li>
</ul><ul><li>ajax-library (530)</li>
</ul><ul><li>pack-icons (468)</li>
</ul><ul><li>icons-package (380)</li>
</ul><ul><li>swiper-bundle (185)</li>
</ul><ul><li>icons-packages (170)</li>
</ul>Полный масштаб атаки еще предстоит выяснить, поскольку нет возможности определить объем данных, украденных из взломанных приложений и веб-сайтов. Тем не менее, предполагается, что мошеннические npm-пакеты использовались в сотнях приложений.