Ataque simples à cadeia de suprimentos compromete centenas de websites e aplicativos

Um simples ataque à cadeia de suprimentos do NPM levou ao comprometimento de milhares de websites e aplicativos de desktop, descobriram os pesquisadores.

De acordo com a ReversingLabs, um agente de ameaças conhecido como IconBurst criou vários módulos NPM maliciosos capazes de exfiltrar dados de formulário serializados e lhes deu nomes quase idênticos a outros módulos legítimos.

Dezenas de milhares de downloads

“As semelhanças entre os domínios usados ​​para exfiltrar dados sugerem que os vários módulos desta campanha estão sob o controle de um único ator”, explicou Karlo Zanki, engenheiro reverso da ReversingLabs.

A equipe entrou em contato com o departamento de segurança do NPM no início deste mês com suas descobertas, mas alguns pacotes maliciosos ainda estão ativos.

"Embora alguns dos pacotes nomeados tenham sido removidos do NPM, a maioria ainda está disponível para obtain no momento deste relatório", acrescentou Zanki. "Como muito poucas organizações de desenvolvimento têm a capacidade de detectar códigos maliciosos em bibliotecas e módulos de código aberto, os ataques persistiram por meses antes de chegar ao nosso conhecimento."

Determinar exatamente quantos dados foram roubados é quase impossível, acrescentaram os pesquisadores. A campanha está ativa desde pelo menos dezembro de 2021.

"Embora a extensão overall desse ataque ainda não seja conhecida, os pacotes maliciosos que descobrimos provavelmente são usados ​​por centenas, senão milhares, de aplicativos móveis e de desktop, bem como websites", disse Zanki.

"Os módulos NPM que nossa equipe identificou foram baixados coletivamente mais de 27.000 vezes."

Através da BleepingComputador (abre em nova aba)