原文地址：https://thehackernews.com/2022/07/researchers-uncover-malicious-npm.html
翻译：梦幻的彼岸

至少从2021年12月开始，一个广泛的软件供应链攻击已经针对NPM包管理器，其rogue 模块旨在窃取用户在包含这些模块的网站上输入的表单数据。

这种被ReversingLabs称为IconBurst的协同攻击涉及不少于2 dozen（12） NPM，其中包括混淆的JavaScript，它带有恶意代码，从嵌入下游移动应用程序和网站的表单中收集敏感数据。

安全研究员Karlo Zanki在周二的一份报告中说："这些明显的恶意攻击依靠的是打字排版，这是一种技术，攻击者通过公共资源库提供名称与合法软件包相似--或常见的拼写错误的软件包，"。"攻击者冒充高流量的NPM模块，如umbrellajs和由ionic.io发布的软件包。

有问题的软件包，其中大部分是在过去几个月里发布的，到目前为止已经被下载了27000多次。更糟糕的是，大部分模块仍然可以从存储库中下载。


下面列出了一些最常下载的恶意模块-

• icon-package (17,774)

• ionicio (3,724)

• ajax-libs (2,440)

• footericon (1,903)

• umbrellaks (686)

• ajax-library (530)

• pack-icons (468)

• icons-package (380)

• swiper-bundle (185), and

• icons-packages (170)
  

在ReversingLabs观察到的一个例子中，由icon-package泄露的数据被路由到一个名为为ionicio[.]com的域名，一个被设计成类似于合法的ionic[.]io网站的页面。

该活动背后的恶意软件作者在最近几个月进一步改变了他们的策略，从网页上的每一个表单元素中收集信息，表明他们采取了积极的数据采集方法。

"Zanki指出："应用程序开发的分散和模块化性质意味着应用程序和服务只有在其最不安全的组件中才会强大。"这次攻击的成功[......]强调了应用程序开发的自由性，以及恶意代码甚至易受攻击的代码进入敏感应用程序和IT环境的门槛较低。"

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)