研究人员发现恶意NPM软件包从应用程序和Web表单中窃取数据

至少自2021 12月以来，一场广泛的软件供应链攻击以NPM软件包管理器为目标，其恶意模块旨在窃取用户在包含它们的网站上以表单形式输入的数据。

ReversingLabs称之为IconBurst的协同攻击涉及不少于24个NPM包，其中包括模糊的JavaScript，该JavaScript附带恶意代码，用于从嵌入下游移动应用程序和网站的表单中获取敏感数据。

安全研究人员卡罗·赞基（Karlo Zanki）在周二的一份报告中表示：“这些明显恶意的攻击依赖于拼写错误，攻击者通过公共存储库提供名称类似于，或常见拼写错误的合法软件包”。“攻击者模拟高流量NPM模块，如umbrellajs和ionic.io发布的包”。

下面列出了一些下载最多的恶意模块

• 图标包（17774）
• ajax libs（2440）
• 页脚图标（1903）
• ajax库（530）
• 包装图标（468）
• 图标包（380）
• swiper束（185），和
• 图标包（170）

在ReversingLabs观察到的一个实例中，icon包过滤出的数据被路由到一个名为ionicio[.]的域com，一个看起来很像的页面，被设计成类似于合法的爱奥尼亚io网站。

近几个月来，这场活动背后的恶意软件作者进一步改变了策略，从网页上的每个表单元素收集信息，这表明了一种积极的数据收集方法。

Zanki指出：“应用程序开发的去中心化和模块化性质意味着，应用程序和服务的强大程度只取决于其最不安全的组件”。“这次袭击的成功强调了应用程序开发的随意性，以及恶意代码甚至易受攻击代码进入敏感应用程序和IT环境的低障碍"。