研究人员发现恶意NPM包从应用程序和Web 表单中窃取数据

执行摘要

ReversingLabs 研究人员最近发现了广泛的软件供应链攻击的证据，该攻击涉及通过 NPM 包管理器提供的恶意 Javascript 包。ReversingLabs 的研究人员发现了 20 多个 NPM 包，这些包可追溯到 6 个月前，其中包含混淆的 Javascript，旨在从使用部署了恶意包的应用程序或网站的个人那里窃取表单数据。

经过仔细检查，我们发现了协同供应链攻击的证据，大量 NPM 包包含 jQuery 脚本，旨在从包含它们的已部署应用程序中窃取表单数据。虽然尚不清楚此次攻击的全部范围，但我们发现的恶意程序包可能已被数百甚至数千个下游移动和桌面应用程序以及网站使用。在一个案例中，恶意程序包已被下载超过 17,000 次。

与最近的（良性）依赖混淆攻击一样针对德国组织，这些明显的恶意攻击依赖于拼写错误，这是一种攻击者通过公共存储库提供名称与合法软件包相似或常见拼写错误的软件包的技术。攻击者冒充了高流量的 NPM 模块，例如由 ionic.io 发布的雨伞js 和软件包。然而，真正的目标是软件（及其数据）的最终用户，而不是开发组织。这使得这种攻击更能与臭名昭著的 SolarWinds 妥协相媲美，而不是其他更近期的供应链妥协。此外，用于泄露数据的域之间的相似性表明，该活动中的各个模块都在单个参与者的控制之下。

以下是有关这种广泛的软件供应链攻击的详细信息，包括与攻击相关的已知危害指标 (IOC) 以及修复这些恶意 NPM 模块所构成威胁的建议。

至少自 2021 年 12 月以来，一场广泛的软件供应链攻击已针对 NPM 包管理器，其恶意模块旨在窃取用户在包含它们的网站上以表格形式输入的数据。

协同攻击被 ReversingLabs 称为 IconBurst，涉及不少于两打 NPM 包，其中包括混淆的 JavaScript，它带有恶意代码，用于从嵌入的下游移动应用程序和网站的表单中收集敏感数据。

安全研究员 Karlo Zanki在周二的一份报告中说： “这些明显的恶意攻击依赖于拼写错误，这是一种攻击者通过公共存储库提供名称与合法包相似或常见拼写错误的包的技术。攻击者冒充了高流量的 NPM 模块，例如雨伞js 和 ionic.io 发布的包。”

有问题的软件包大部分是在过去几个月发布的，迄今为止总共下载了超过 27,000 次。更糟糕的是，大部分模块仍然可以从存储库下载。

下面列出了一些下载最多的恶意模块 ：

• icon-package (17,774)

• ionicio (3,724)

• ajax-libs (2,440)

• footericon (1,903)

• umbrellaks (686)

• ajax-library (530)

• pack-icons (468)

• icons-package (380)

• swiper-bundle (185), and

• icons-packages (170)

结论

ReversingLabs 的研究发现了一个广泛的软件供应链攻击，涉及数千个下游应用程序使用的超过两打 NPM 模块，如包下载计数所示。

对模块的分析揭示了协调的证据，恶意模块可追溯到少数 NPM 发布者，以及支持基础设施（如渗透域）的一致模式。ReversingLabs 于 2022 年 7 月 1 日联系 NPM 安全团队报告调查结果。

这次攻击标志着软件供应链攻击的显着升级。捆绑在 NPM 模块中的恶意代码在未知数量的移动和桌面应用程序和网页中运行，获取大量用户数据。我们团队确定的 NPM 模块的总下载量已超过 27,000 次。由于很少有开发组织能够检测开源库和模块中的恶意代码，因此攻击持续了几个月才引起我们的注意。虽然一些命名包已从 NPM 中删除，但在本报告发布时大部分仍可供下载。

在发布这份报告时，我们希望它可以作为开发组织评估自己对这些恶意 NPM 模块的暴露程度的资源。我们准备了一份受影响的模块和危害指标的列表，组织可以使用这些列表来寻找主动攻击的证据。

除了这一特定事件之外，很明显，软件开发组织及其客户需要新的工具和流程来评估供应链风险，比如这些恶意 NPM 包所带来的风险。应用程序开发的分散和模块化特性意味着应用程序和服务的强大程度取决于它们最不安全的组件。这次攻击的成功——在一个流行的包存储库中提供了两打以上的恶意模块可供下载，其中一个在几周内下载了 17,000 次——突显了应用程序开发的随心所欲的性质，以及对恶意或恶意软件的低门槛。甚至是进入敏感应用程序和 IT 环境的易受攻击的代码。

原文始发于微信公众号（祺印说信安）：研究人员发现恶意NPM包从应用程序和Web 表单中窃取数据