صدها وب‌سایت و برنامه تحت تأثیر حمله روی NPM

یک حمله زنجیره تأمین NPM که مربوط به دسامبر 2021 است، از ده‌ها ماژول NPM مخرب حاوی کد جاوا اسکریپت مبهم‌سازی شده برای به خطر انداختن صدها برنامه و وب‌سایت دسکتاپ استفاده کرد.

صدها وب‌سایت و برنامه تحت تأثیر حمله روی  NPM

یک حمله زنجیره تأمین NPM که مربوط به دسامبر 2021 است، از ده‌ها ماژول NPM مخرب حاوی کد جاوا اسکریپت مبهم‌سازی شده برای به خطر انداختن صدها برنامه و وب‌سایت دسکتاپ استفاده کرد.

همانطور که محققان در شرکت امنیتی زنجیره تأمین ReversingLabs کشف کردند، عوامل تهدید در پشت این کمپین (معروف به IconBurst) از typosquatting (حمله مبتنی بر شباهت املایی) برای آلوده کردن توسعه‌دهندگانی استفاده کردند که به دنبال بسته‌های بسیار محبوب مانند umbrellajs و ماژول‌های ionic.io NPM هستند.

اگر این توسعه‌دهندگان با  نام‌گذاری ماژول که بسیار مشابه اصلی است فریب بخورند، عوامل تهدید بسته‌های مخربی را که برای سرقت داده‌ها از فرم‌های تعبیه‌شده (از جمله آن‌هایی که برای ورود به سیستم استفاده می‌شوند) طراحی شده‌اند، به برنامه‌ها یا وب‌سایت‌های آنها اضافه می‌کنند.

به عنوان مثال، یکی از بسته‌های مخرب NPM مورد استفاده در این کمپین (بسته آیکون) بیش از 17000 بار دانلود دارد و به گونه‌ای طراحی شده است که داده‌های فرم را به چندین دامنه تحت کنترل مهاجم منتقل کند.
کارلو زانکی، مهندس معکوس در ReversingLabs، می‌گوید «IconBurst متکی بر typo-squatting است، تکنیکی که در آن مهاجمان بسته‌هایی را از طریق مخزن‌هایی (repositories) با نام‌هایی که شبیه بسته‌های قانونی یا دارای غلط املایی رایج هستند، ارائه می‌دهند.»

علاوه بر این، شباهت‌های بین دامنه‌های مورد استفاده برای استخراج داده‌ها نشان می‌دهد که ماژول‌های مختلف در این کمپین تحت کنترل یک عامل واحد هستند.

برخی از ماژول‌های مخرب هنوز برای دانلود در دسترس هستند

اگرچه که تیم ReversingLabs در 1 ژوئیه 2022 با تیم امنیتی NPM تماس گرفت تا یافته‌های خود را گزارش کند، برخی از بسته‌های مخرب IconBurst هنوز در رجیستری NPM در دسترس هستند.

زانکی افزود: «در حالی که تعدادی از بسته‌های نام‌برده از NPM حذف شده‌اند، اکثر آنها هنوز در زمان انتشار این گزارش برای دانلود در دسترس هستند.»

از آنجایی که تعداد بسیار کمی از سازمان‌های توسعه‌دهنده توانایی شناسایی کدهای مخرب در کتابخانه‌ها و ماژول‌های open source را دارند، این حملات ماه‌ها قبل از اینکه مورد توجه ما قرار بگیرند ادامه یافت.»

اگرچه محققان می‌توانند فهرستی از بسته‌های مخرب مورد استفاده در حمله زنجیره تأمین IconBurst تهیه کنند، اما تأثیر آن هنوز مشخص نشده است، زیرا هیچ راهی برای دانستن اینکه چه مقدار داده و اعتبارنامه از طریق برنامه‌ها و صفحات وب آلوده از دسامبر 2021 به سرقت رفته است وجود ندارد.

تنها معیارهای موجود در آن زمان تعداد دفعاتی است که هر ماژول NPM مخرب نصب شده است و آمار ReversingLabs کاملاً شگفت‌آور است.

زانکی گفت: در حالی که گستره کامل این حمله هنوز مشخص نیست، بسته‌های مخربی که ما کشف کردیم احتمالاً توسط صدها، یا حتی هزاران اپلیکیشن موبایل و دسکتاپ و همچنین وب‌سایت‌ها استفاده می‌شود.

«کدهای مخرب همراه با ماژول‌های NPM در تعداد ناشناخته‌ای از برنامه‌های کاربردی موبایل و دسکتاپ و صفحات وب اجرا می‌شوند و مقادیر بی‌شماری از داده‌های کاربر را جمع‌آوری می‌کنند.»

«ماژول‌های NPM که تیم ما شناسایی کرده است، مجموعاً بیش از 27000 بار دانلود شده‌اند.»

منبع : Bleeping_Computer