Une simple attaque de la chaîne d’approvisionnement NPM a conduit à la compromission de milliers de sites Web et d’applications de bureau, ont découvert des chercheurs.
Selon ReversingLabs, un acteur malveillant connu sous le nom d’IconBurst a créé un certain nombre de modules NPM malveillants capables d’exfiltrer des données de formulaire sérialisées et leur a donné des noms presque identiques à d’autres modules légitimes.
Il s’agit d’une technique d’attaque populaire connue sous le nom de typosquatting. Les attaquants essaient essentiellement d’assumer les identités (s’ouvre dans un nouvel onglet) de développeurs légitimes. Ensuite, les développeurs pressés ou qui ne font pas attention aux détails tels que les noms NPM téléchargent les modules et les intègrent dans leur travail.
Des dizaines de milliers de téléchargements
« Les similitudes entre les domaines utilisés pour exfiltrer les données suggèrent que les différents modules de cette campagne sont sous le contrôle d’un seul acteur », a expliqué Karlo Zanki, rétro-ingénieur chez ReversingLabs.
L’équipe a contacté le service de sécurité du NPM plus tôt ce mois-ci avec ses conclusions, mais certains packages malveillants sont toujours actifs.
« Bien que quelques-uns des packages nommés aient été supprimés de NPM, la plupart sont toujours disponibles au téléchargement au moment de ce rapport », a ajouté Zanki. « Comme très peu d’organisations de développement ont la capacité de détecter le code malveillant dans les bibliothèques et les modules open source, les attaques ont persisté pendant des mois avant d’attirer notre attention. »
Déterminer exactement combien de données ont été volées est presque impossible, ont ajouté les chercheurs. La campagne est en ligne depuis au moins décembre 2021.
« Bien que l’étendue de cette attaque ne soit pas encore connue, les packages malveillants que nous avons découverts sont probablement utilisés par des centaines, voire des milliers d’applications mobiles et de bureau en aval ainsi que des sites Web », a déclaré Zanki.
« Les modules NPM identifiés par notre équipe ont été collectivement téléchargés plus de 27 000 fois. »
Via BleepingComputer (s’ouvre dans un nouvel onglet)