استخدم هجوم سلسلة التوريد NPM الذي يعود تاريخه إلى ديسمبر 2021 العشرات من وحدات NPM الخبيثة التي تحتوي على كود Javascript غامض لخرق مئات من تطبيقات سطح المكتب ومواقع الويب.
كما اكتشف باحثون في شركة "ReversingLabs " لأمن سلسلة التوريد، فإن الجهات الفاعلة في التهديد وراء هذه الحملة (المعروفة باسم IconBurst) استخدمت أسلوب الكتابة المطبعية لإصابة المطورين الذين يبحثون عن حزم شائعة جدًا، مثل umbrellajs ووحدات ionic.io.
إذا تم خداعهم من خلال نظام تسمية الوحدة المشابه جدًا ، فسيضيفون الحزم الضارة المصممة لسرقة البيانات من النماذج المضمنة (بما في ذلك تلك المستخدمة لتسجيل الدخول) إلى تطبيقاتهم أو مواقعهم الإلكترونية.
على سبيل المثال، تحتوي إحدى حزم NPM الخبيثة المستخدمة في هذه الحملة (حزمة الرموز) على أكثر من 17000 عملية تنزيل وهي مصممة لاختراق بيانات النموذج المتسلسلة إلى العديد من المجالات التي يتحكم فيها المهاجمون.
قال Karlo Zanki، مهندس عكسي فيReversingLabs ، إن IconBurst "اعتمدت على أسلوب typo-squatting ، وهي تقنية يقدم فيها المهاجمون حزمًا عبر مستودعات عامة بأسماء مشابهة - أو أخطاء إملائية شائعة - للحزم المشروعة" .
"علاوة على ذلك ، تشير أوجه التشابه بين المجالات المستخدمة لسحب البيانات إلى أن الوحدات المختلفة في هذه الحملة تخضع لسيطرة جهة فاعلة واحدة."
قائمة جزئية من حزم NPM الخبيثة من IconBurst (ReversingLabs) |
بينما تواصل فريق ريفيرسينج لابز مع فريق الأمن التابع للآلية الوقائية الوطنية في 1 يوليو 2022 للإبلاغ عن النتائج التي توصلوا إليها، لا تزال بعض حزم IconBurst الخبيثة متاحة في سجل NPM.
وأضاف زنكي: "على الرغم من إزالة عدد قليل من الحزم المحددة من NPM، إلا أن معظمها لا يزال متاحًا للتنزيل في وقت هذا التقرير".
على الرغم من أنه يمكن للباحثين تجميع قائمة بالحزم الضارة المستخدمة في هجوم سلسلة التوريد IconBurst، إلا أن تأثيرها لم يتحدد بعد، مع ملاحظة أنه لا توجد طريقة لمعرفة مقدار البيانات وبيانات الاعتماد التي سُرقت عبر التطبيقات المصابة وصفحات الويب منذ ديسمبر 2021.
وقال زنكي: "على الرغم من أن النطاق الكامل لهذا الهجوم غير معروف بعد ، فمن المحتمل أن يتم استخدام الحزم الخبيثة التي اكتشفناها من قبل المئات ، إن لم يكن الآلاف من تطبيقات الأجهزة المحمولة وأجهزة سطح المكتب بالإضافة إلى مواقع الويب".
from موضوع جديد لك https://ift.tt/akwmBMj
Aucun commentaire:
Enregistrer un commentaire