Ein weit verbreiteter Angriff auf die Software-Lieferkette zielt mindestens seit Dezember 2021 auf den NPM-Paketmanager ab.
Der koordinierte Angriff, der von ReversingLabs als IconBurst bezeichnet wird, betrifft nicht weniger als zwei Dutzend NPM-Pakete, die verschleiertes JavaScript enthalten, das mit bösartigem Code versehen ist, um sensible Daten aus Formularen abzugreifen, die in nachgelagerte mobile Anwendungen und Websites eingebettet sind.
„Diese eindeutig bösartigen Angriffe basierten auf Typo-Squatting, einer Technik, bei der Angreifer Pakete über öffentliche Repositories mit Namen anbieten, die legitimen Paketen ähneln oder falsch geschrieben sind“, so der Sicherheitsforscher Karlo Zanki in einem Bericht vom Dienstag. „Die Angreifer gaben sich als hochfrequentierte NPM-Module wie umbrellajs und von ionic.io veröffentlichte Pakete aus.
Die fraglichen Pakete, von denen die meisten in den letzten Monaten veröffentlicht wurden, wurden bis heute insgesamt mehr als 27.000 Mal heruntergeladen. Schlimmer noch, ein Großteil der Module steht weiterhin im Repository zum Download bereit.
Einige der am häufigsten heruntergeladenen bösartigen Module sind unten aufgelistet –
icon-package (17.774)
ionicio (3.724)
ajax-libs (2.440)
footericon (1.903)
regenschirme (686)
ajax-bibliothek (530)
pack-icons (468)
icons-package (380)
swiper-bundle (185), und
icons-packages (170)
In einem Fall, der von ReversingLabs beobachtet wurde, wurden die von icon-package exfiltrierten Daten zu einer Domain namens ionicio[.]com geleitet, einer Lookalike-Seite, die so gestaltet war, dass sie der legitimen ionic[.]io Website ähnelte.
Ein Zeichen dafür, dass die Kampagne einen aggressiven Ansatz zum Datensammeln verfolgt, ist, dass die Malware-Autoren in den letzten Monaten ihre Taktik geändert haben, um Informationen von jedem Formularelement auf der Webseite zu sammeln.
Das gesamte Ausmaß des Angriffs ist noch nicht bekannt, da es keine Möglichkeit gibt, das Ausmaß der Daten zu bestimmen, die von den kompromittierten Apps und Websites abgeschöpft wurden. Es wird jedoch vermutet, dass die betrügerischen Pakete in Hunderten von Anwendungen verwendet wurden.
„Die dezentralisierte und modulare Natur der Anwendungsentwicklung bedeutet, dass Anwendungen und Dienste nur so stark sind wie ihre unsicherste Komponente“, so Zanki. „Der Erfolg dieses Angriffs […] unterstreicht die freie Natur der Anwendungsentwicklung und die niedrigen Hürden für das Eindringen von bösartigem oder sogar anfälligem Code in sensible Anwendungen und IT-Umgebungen.“