• Партнер

  • Около двух десятков пакетов NPM воровали данные из форм, встроенных в мобильные приложения и сайты, с декабря 2021 года. Эксперты дали этой кампании название IconBurst, так как в основном малварь маскировалась под популярные пакеты ionic.

    Вредоносную кампанию обнаружили исследователи ReversingLabs, которые рассказывают, что зараженные пакеты содержали обфусцированный JavaScript, который и воровал данные из всевозможных форм (включая те, которые используются для входа).

    «Эти явно были атаки, основанные на тайпсквоттинге: злоумышленники распространяли через общедоступные репозитории пакеты с именами, похожими на названия легитимных библиотек или содержащими распространенные орфографические ошибки. Злоумышленники выдавали свои пакеты за популярные библиотеки NPM, привлекающие серьезный трафик, включая пакеты umbrellajs и ionic.io», — говорят эксперты.

    Вредоносные пакеты, большинство из которых были опубликованы в последние месяцы, суммарно успели загрузить более 27 000 раз. Полный список можно увидеть ниже.

    Автор/Имя пакета Количество загрузок
    fontsawesome
    ionic-icon 108
    ionicio 3724
    ionic-io
    icon-package 17 774
    ajax-libs 2440
    umbrellaks 686
    ajax-library 530
    arpanrizki
    iconion-package 101
    package-sidr 91
    kbrstore 89
    icons-package 380
    subek 99
    package-show 103
    package-icon 122
    kbrstore
    icons-packages 170
    ionicon-package 64
    icons-pack 49
    pack-icons 468
    ionicons-pack 89
    aselole
    package-ionicons 144
    package-ionicon 57
    base64-javascript 40
    ionicons-js 38
    ionicons-json 39
    footericon
    footericon 1,903
    ajax-libz
    roar-01 40
    roar-02 37
    wkwk100 38
    swiper-bundie 39
    ajax-libz 40
    swiper-bundle 185
    atez 43
    ajax-googleapis 38
    tezdoank 69

     

    Аналитики ReversingLabs заметили, что данные, похищенные icon-package, перенаправлялись на домен ionicio[.]com. И сайт, размещенный по этому адресу, специально был создан таким образом, чтобы напоминать настоящий ресурс ionic[.]io. При этом отмечается, что сходства между доменами, используемыми для хищения данных, позволяют предположить, что вся эта кампания контролируется одними и тем же злоумышленникам.

    ReversingLabs уведомила команду безопасности NPM о своей находке еще 1 июля 2022 года, однако сообщается, что некоторые вредоносные пакеты IconBurst все еще доступны репозитории.

    «Хотя полный масштаб этой атаки еще неясен, обнаруженные нами вредоносные пакеты, вероятно, используются сотнями, если не тысячами мобильных и десктопных приложений, а также сайтов, собирая неисчислимые объемы пользовательских данных», — предупреждают эксперты.

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии