Исследователи из Reversing Labs рассказали, что злоумышленники публикуют вредоносные npm-пакеты для кражи пользовательских данных с сайтов и приложений. При этом хакеры выбирают для атаки названия популярных пакетов, чтобы смутить пользователей и заставить скачать шпионское программное обеспечение вместо оригинального.
Специалисты утверждают, что злоумышленники публиковали вредоносные пакеты с декабря 2021 года. Атака получила название IconBurst. На протяжении всего этого времени хакеры использовали npm-пакеты с обфусцированным кодом на JavaScript. Имена пакетов специально подбирались таким образом, чтобы копировать имена популярных npm-пакетов. Чаще всего злоумышленники выдавали свои вредоносные программы за umbrellajs и ionic.io.
В некоторых случаях хакеры подделывали не только имена npm-пакетов, но и их официальные сайты. Так один из сайтов полностью копирует дизайн официального портала, что может запутать неопытного пользователя. Также исследователи сообщают, что жертвы успели скачать вредоносные пакеты более 27 тысяч раз, а часть из них до сих пор доступна в пакетном менеджере.
Специалисты из Reversing Labs предоставили список самых популярных заражённых пакетов с количеством загрузок:
|
Название пакета |
Количество загрузок |
|
icon-package |
17 774 |
|
ionicio |
3 724 |
|
ajax-libs |
2 440 |
|
footericon |
1 903 |
|
umbrellaks |
686 |
|
ajax-library |
530 |
|
pack-icons |
468 |
|
icons-package |
380 |
|
swiper-bundle |
185 |
|
icons-packages |
170 |
Исследователи заявили, что им ещё только предстоит узнать, сколько данных скомпрометировали разработчики, но из беглого анализа заметно, что вредоносные пакеты применяются в тысячах приложений.
ссылка на оригинал статьи https://habr.com/ru/articles/675508/
Добавить комментарий