近期，一次可以追溯到2021年12月的NPM供應鏈攻擊使用了幾十個包含模糊Javascript代碼的惡意NPM模塊，并破壞了數(shù)百個應用和網(wǎng)站。正如供應鏈安全公司ReversingLabs的研究人員所發(fā)現(xiàn)的那樣，這一行動(被稱為IconBurst)背后的威脅行為者針對一些開發(fā)者使用URL劫持，如gumbrellajs和ionic.io NPM模塊。

他們通過非常相似的模塊命名方式來誘騙受害者，添加惡意軟件包旨在竊取嵌入表單(包括用于登錄的表單)的數(shù)據(jù)到他們的應用程序或網(wǎng)站。例如，該活動中使用的一個惡意NPM軟件包（icon-package）有超過17,000次下載，為的就是將序列化的表單數(shù)據(jù)竊取到多個攻擊者控制的域。ReversingLabs的逆向工程師Karlo Zanki說，IconBurst依賴于URL劫持，這些惡意軟件包的名稱與合法的文件類似。此外，用于泄露數(shù)據(jù)的域之間的相似性表明，該活動中的各個模塊都在同一個參與者的控制之下。

雖然ReversingLabs 團隊于2022年7月1日已聯(lián)系了NPM安全團隊，但NPM注冊表中仍然存在一些 IconBurst 惡意軟件包。“雖然已經(jīng)從NPM中刪除了一些，但在本報告發(fā)布時大多數(shù)仍然可供下載，”Zanki說，“由于很少有開發(fā)組織能夠檢測開源庫和模塊中的惡意代碼，因此攻擊持續(xù)了幾個月才引起我們的注意?！?/p>

盡管研究人員可以編制一份用于IconBurst供應鏈攻擊的惡意軟件包列表，但其影響尚未確定，因為無法知道自去年12月以來通過受感染的應用程序和網(wǎng)頁竊取了多少數(shù)據(jù)和憑據(jù)。

當時唯一可用的指標是每個惡意 NPM 模塊的安裝次數(shù)，而ReversingLabs的統(tǒng)計數(shù)據(jù)相當驚人。“雖然目前尚不清楚這次攻擊的全部范圍，但我們發(fā)現(xiàn)的惡意軟件包可能被數(shù)百甚至數(shù)千個下游移動和桌面應用程序以及網(wǎng)站使用。捆綁在NPM模塊中的惡意代碼正在未知數(shù)量的移動和桌面應用程序和網(wǎng)頁中運行并被獲取大量用戶數(shù)據(jù)，最后，我們團隊確定的NPM 模塊的總下載量已超過 27,000 次?！?/p>

參考來源：https://www.bleepingcomputer.com/news/security/npm-supply-chain-attack-impacts-hundreds-of-websites-and-apps/