Исследователи из Reversing Labs рассказали, что злоумышленники публикуют вредоносные npm-пакеты для кражи пользовательских данных с сайтов и приложений. При этом хакеры выбирают для атаки названия популярных пакетов, чтобы смутить пользователей и заставить скачать шпионское программное обеспечение вместо оригинального.
Специалисты утверждают, что злоумышленники публиковали вредоносные пакеты с декабря 2021 года. Атака получила название IconBurst. На протяжении всего этого времени хакеры использовали npm-пакеты с обфусцированным кодом на JavaScript. Имена пакетов специально подбирались таким образом, чтобы копировать имена популярных npm-пакетов. Чаще всего злоумышленники выдавали свои вредоносные программы за umbrellajs и ionic.io.
В некоторых случаях хакеры подделывали не только имена npm-пакетов, но и их официальные сайты. Так один из сайтов полностью копирует дизайн официального портала, что может запутать неопытного пользователя. Также исследователи сообщают, что жертвы успели скачать вредоносные пакеты более 27 тысяч раз, а часть из них до сих пор доступна в пакетном менеджере.
Специалисты из Reversing Labs предоставили список самых популярных заражённых пакетов с количеством загрузок:
Название пакета | Количество загрузок |
icon-package | 17 774 |
ionicio | 3 724 |
ajax-libs | 2 440 |
footericon | 1 903 |
umbrellaks | 686 |
ajax-library | 530 |
pack-icons | 468 |
icons-package | 380 |
swiper-bundle | 185 |
icons-packages | 170 |
Исследователи заявили, что им ещё только предстоит узнать, сколько данных скомпрометировали разработчики, но из беглого анализа заметно, что вредоносные пакеты применяются в тысячах приложений.
