Около двух десятков пакетов NPM воровали данные из форм, встроенных в мобильные приложения и сайты, с декабря 2021 года. Эксперты дали этой кампании название IconBurst, так как в основном малварь маскировалась под популярные пакеты ionic.
Вредоносную кампанию обнаружили исследователи ReversingLabs, которые рассказывают, что зараженные пакеты содержали обфусцированный JavaScript, который и воровал данные из всевозможных форм (включая те, которые используются для входа).
«Эти явно были атаки, основанные на тайпсквоттинге: злоумышленники распространяли через общедоступные репозитории пакеты с именами, похожими на названия легитимных библиотек или содержащими распространенные орфографические ошибки. Злоумышленники выдавали свои пакеты за популярные библиотеки NPM, привлекающие серьезный трафик, включая пакеты umbrellajs и ionic.io», — говорят эксперты.
Вредоносные пакеты, большинство из которых были опубликованы в последние месяцы, суммарно успели загрузить более 27 000 раз. Полный список можно увидеть ниже.
| Автор/Имя пакета | Количество загрузок |
| fontsawesome | |
| ionic-icon | 108 |
| ionicio | 3724 |
| ionic-io | |
| icon-package | 17 774 |
| ajax-libs | 2440 |
| umbrellaks | 686 |
| ajax-library | 530 |
| arpanrizki | |
| iconion-package | 101 |
| package-sidr | 91 |
| kbrstore | 89 |
| icons-package | 380 |
| subek | 99 |
| package-show | 103 |
| package-icon | 122 |
| kbrstore | |
| icons-packages | 170 |
| ionicon-package | 64 |
| icons-pack | 49 |
| pack-icons | 468 |
| ionicons-pack | 89 |
| aselole | |
| package-ionicons | 144 |
| package-ionicon | 57 |
| base64-javascript | 40 |
| ionicons-js | 38 |
| ionicons-json | 39 |
| footericon | |
| footericon | 1,903 |
| ajax-libz | |
| roar-01 | 40 |
| roar-02 | 37 |
| wkwk100 | 38 |
| swiper-bundie | 39 |
| ajax-libz | 40 |
| swiper-bundle | 185 |
| atez | 43 |
| ajax-googleapis | 38 |
| tezdoank | 69 |
Аналитики ReversingLabs заметили, что данные, похищенные icon-package, перенаправлялись на домен ionicio[.]com. И сайт, размещенный по этому адресу, специально был создан таким образом, чтобы напоминать настоящий ресурс ionic[.]io. При этом отмечается, что сходства между доменами, используемыми для хищения данных, позволяют предположить, что вся эта кампания контролируется одними и тем же злоумышленникам.
ReversingLabs уведомила команду безопасности NPM о своей находке еще 1 июля 2022 года, однако сообщается, что некоторые вредоносные пакеты IconBurst все еще доступны репозитории.
«Хотя полный масштаб этой атаки еще неясен, обнаруженные нами вредоносные пакеты, вероятно, используются сотнями, если не тысячами мобильных и десктопных приложений, а также сайтов, собирая неисчислимые объемы пользовательских данных», — предупреждают эксперты.
