D’autres codes Javascript malveillants ont été trouvés dans des offers disponibles sur le référentiel NPM open up supply, affirment des chercheurs de ReversingLabs, soulignant la découverte la as well as récente de bibliothèques non fiables sur des web sites open supply.
La société a déclaré il a trouvé furthermore de deux douzaines de mauvais paquetsdatant de six mois, qui contiennent du Javascript obscurci conçu pour voler des données de formulaire à des personnes utilisant des purposes ou des web pages Website sur lesquels les offers malveillants ont été déployés.
Les chercheurs l’ont décrit comme une “attaque coordonnée de la chaîne d’approvisionnement”.
“Bien que l’étendue de cette attaque ne soit pas encore connue, les deals malveillants que nous avons découverts sont probablement utilisés par des centaines, voire des milliers d’applications mobiles et de bureau en aval ainsi que des websites Web”, indique le rapport. “Dans un cas, un package deal malveillant avait été téléchargé plus de 17 000 fois.”
Les attaquants s’appuient sur le typo-squattage, en nommant leurs packages avec des noms similaires à – ou des fautes d’orthographe courantes de – packages légitimes. Parmi ceux dont l’identité est usurpée, il y a des modules à fort trafic comme parapluiejs (le fake module s’appelle parapluieks) et les offers publiés par ionique.io.
Les similitudes entre les domaines utilisés pour exfiltrer les données suggèrent que les différents modules de cette campagne sont sous le contrôle d’un seul acteur, ajoute le rapport.
NPM est l’une des nombreuses bibliothèques open source de progiciels utilisés par les développeurs dans leurs purposes. D’autres sont PyPI, Ruby et NuGet.
La découverte récente de mauvais code dans ces bibliothèques ne fait que souligner la nécessité pour les développeurs d’applications de contrôler de près le code qu’ils téléchargent à partir de websites World wide web open supply. Un outil qu’ils peuvent utiliser est un désobscurcisseur javascript pour examiner le code obscurci – en soi un signe suspect.
ReversingLabs l’a fait avec les modules suspects qu’il a trouvés et a découvert que tous collectaient des données de formulaire à l’aide des fonctions jQuery Ajax et les envoyaient à divers domaines contrôlés par des auteurs malveillants.
Non seulement les noms des packages malveillants sont similaires à ceux des deals légitimes, mais les websites World-wide-web auxquels les offers renvoient sont dans certains cas des copies bien conçues de web pages réels. Cela trompe également ceux qui téléchargent les offers. Par exemple, il s’agit de la fausse web page Ionic qui renvoie à l’un des offers malveillants découverts par ReversingLabs…
… et ceci est le vrai web-site Internet.
“Cette attaque marque une escalade significative des attaques de la chaîne d’approvisionnement logicielle”, indique le rapport. “Le code malveillant intégré aux modules NPM s’exécute dans un nombre inconnu d’applications et de internet pages Net mobiles et de bureau, récoltant des quantités incalculables de données utilisateur.
« Les modules NPM identifiés par notre équipe ont été collectivement téléchargés furthermore de 27 000 fois. Comme très peu d’organisations de développement ont la capacité de détecter le code malveillant dans les bibliothèques et les modules open supply, les attaques ont persisté pendant des mois avant d’attirer notre notice. Bien que quelques-uns des packages nommés aient été supprimés de NPM, la plupart sont toujours disponibles au téléchargement au instant de ce rapport.
More Stories
5 Golden Parameters To Follow Before Selecting A CRM Software
Warning Dangerous Spyware – Have You Been Getting a Pop Up Warning Dangerous Spyware Message?
Best Anti Virus Software Reviews – Anti Spyware Scanner Virus Scan