Масштабная кампания вредоносных модулей NPM: кража данных через поддельные пакеты

Анализ показал, что злоумышленники действовали скоординированно, используя метод подмены имен (typo-squatting). Этот подход предполагает создание пакетов с названиями, очень похожими на популярные легитимные библиотеки, но с незначительными опечатками или вариациями. Например, атакующие имитировали такие известные модули, как umbrellajs и пакеты платформы ionic.io, чтобы разработчики случайно интегрировали вредоносный код в свои проекты.

Особую тревогу вызывает масштаб распространения зловредных пакетов. По предварительным оценкам, зараженные модули могли быть установлены в сотнях, если не тысячах приложений и веб-сайтов. В одном из случаев вредоносный компонент был скачан более 17 000 раз, что свидетельствует о высокой эффективности атаки. В отличие от традиционных кибератак, ориентированных на разработчиков или компании, данная кампания нацелена именно на конечных пользователей, чьи персональные и финансовые данные могут быть перехвачены и отправлены на контролируемые злоумышленниками серверы.

По своей структуре IconBurst напоминает печально известную атаку SolarWinds, когда вредоносный код был внедрен в легитимное программное обеспечение, что привело к масштабным утечкам данных. Аналитики ReversingLabs также обнаружили сходство между доменами, используемыми для сбора похищенной информации, что указывает на единый центр управления кампанией.

Эксперты предупреждают, что подобные атаки становятся все более изощренными, а их обнаружение осложняется использованием обфусцированного кода и техник социальной инженерии. Разработчикам рекомендуется тщательно проверять сторонние зависимости, избегать установки пакетов из непроверенных источников и регулярно обновлять используемые библиотеки. Кроме того, для минимизации рисков следует внедрять механизмы статического и динамического анализа кода, чтобы своевременно выявлять потенциальные угрозы.

Пока неизвестно, сколько именно данных было скомпрометировано в результате кампании IconBurst, но уже сейчас ясно, что подобные инциденты подчеркивают уязвимость цепочки поставок программного обеспечения. Киберпреступники активно эксплуатируют доверие разработчиков к публичным репозиториям, что требует усиления мер безопасности как со стороны компаний, так и со стороны платформ, таких как NPM.

В условиях роста числа атак через открытые библиотеки специалисты советуют организациям внедрять системы мониторинга зависимостей, которые позволят оперативно обнаруживать подозрительные активности. Кроме того, важно обучать команды разработчиков основам кибербезопасности, чтобы снизить вероятность случайного включения вредоносных компонентов в проекты. Пока злоумышленники продолжают совершенствовать свои методы, только комплексный подход к защите данных сможет предотвратить новые масштабные утечки.

Domains

• api-bo.api-xyz.com
• api-bo.my.id
• apiii-xyz.yogax.my.id
• api-xyz.com
• arpanrizki.my.id
• bankranttroplucaba.tk
• curls.safhosting.xyz
• dnster.my.id
• gmgusionmlbb.api-xyz.com
• gmgusionmlbb.my.id
• graph-googleapis.api-xyz.com
• graph-googleapis.app-jquery.xyz
• graph-googleapis.com
• ionicio.api-xyz.com
• ionicio.com
• mail.graph-googleapis.com
• nge.scrp.my.id
• okep.renznesia.xyz
• panel.archodex.xyz
• panel.curlz.online
• panelllgege.001www.com
• ryucha.my.id
• webmail.graph-googleapis.com

SSL Certificate SHA1

• 87a732f202593a829840664475ce4856348fa3a8
• e6eaa395b4f3d8640583d426a4f08a7d38af74e7
• f96c58e44c21a863175e51f448b0dec56a6c9ba3
• fedbb1111f7c5d640f01fe62360c7f2396e95fdd

SHA1

• 05d2084e1b2ce1d28c3096f16694413ec480704e
• 067e42878df480c0d1ca45c268300c96a258be63
• 069f9c723af8be981a3e6220b991b9c40320d8b5
• 06cb7b1810ca1485e15fa81d92bd92533ff8c001
• 06dbd365e76e7cb593df86a80385e8c46ca05545
• 08bc77bb17b6a4ab365d0354683cbd912219becf
• 123dad7d48c47486e9c226ad50b26b2ba5ec9fe2
• 164ff2295b63434e8b260a46041669c98eab4235
• 17fef01df47ceb87b2755f4a18db23d8f7276d30
• 1a719f2efa398ef8659a401e6209377beab87105
• 1de14d6be4029aa7888f8fc83779b61c96c063da
• 20254c86209118144e6a25fb90abea6f7c903d8e
• 2afd6730426166f061d96a8ccbfba8d8c7ed9e3e
• 326dab8f5d4dab461ca5fd14f136503d12227eae
• 49f2bc011d1beece62b7a4ed47818e288b71edb6
• 52a96612e3d2df0a7980de81d622da6c5ff84513
• 54549337e60eede3d4dc6b52662c582449b66c40
• 5a631ab46373251dade6dca5bb460b55bf738a64
• 5ba35812337b3c7a0064accf17479a26de486951
• 6092606456adce8eb705ba33ad3e9536682d917f
• 6253324c1d741c1be3ae20fd8262adb54530ee8b
• 6388e354433f8c608ab8a97ed9391b9dc44d2a99
• 64cd1eda88f92b32323f9784aab6d1a0bdd7a38c
• 66c41baf38e29c4b0a979cff35df4a1eed11e13e
• 68d1c1883cfab75fa933ab08189ba7abbd2625a8
• 6e2b0d621bf6031beee18b897b2da5d93d3ce5e7
• 73db956f7f752c4f71a8a8588604fa7d7af7de7e
• 77170de7458ee81382efd7de2499694a459abee3
• 77a0f0cc89e98b9662b224b653a35895d3ac69fa
• 7e14150502ee992fc8b1259de58261aeb2f58ae1
• 81031febc2ed49bdd8c8f7ca810830df1b0d3476
• 83e5ebd7f355b1655778a37db6b6953042fb77c4
• 8562edf90e988f7ca556183c2f032bc307dfefdb
• 87cb0505dbb141391103e2bd358f3aa774210a4a
• 8ab228743d3fef5c89aa55c7d3a714361249eba8
• 8c128c3be9645582db2fee9e64e175149d51d92c
• 9299a3eb1f11fcc090c7584bb9ce895ba38fd2cb
• 96aca5e901bd8f1229683339766073e4e5d1de59
• 9f2a2001a07b92adef023ca697e4febba073728e
• 9f5f2f34f15a03c4528d6fa632899d0e3b6d1ceb
• a1e2cb98d2aa1b134b3be04d6a720393dcf6c072
• a2d25c070750cbd20f0c327980a40c26f4ea47ec
• a386ddf8fb1d0846e01501f6fbac11e0389ef581
• a5ad7a0edda67b7267694898a82abbee1ec7a466
• abb8ff44d224b23266769d0808ebe97c3838e484
• ae70ef4e5a0bb522179e5d488ed56efb9ae5b4d9
• b64a10493897c96feb6eda1d0c9fc7ec85506258
• b7dc23a51469574205b0691944f4120e2d92e64d
• c11d9aa077207adeef30cfdd9df3fe979e114b06
• c173de3d3ee1dd0920ee5a3a4f80d8c280ce2697
• c6569dc3fd94f642cad56cb7a950175ff7c2062f
• c77eda629d2076663276bc48c7462ea07470dbdc
• cda4b444744196ae9b2753830f750bc5e4548061
• cf8a7066865ab6d009e226096fa879867b8e61bc
• d106693abc732a93176085410c67c4581de28447
• dd01c6baadd1d79f29b3d69a300e82b860edc57d
• def789dc6322255264703c00d4f4dd265a48b50e
• e66609e433e5b51a148889ff128bd7182fe22d4b
• eec7e3769b4d8b23aeb00f81583750ed26fadc47
• f0221e1707075e2976010d279494bb73f0b169c7
• f78a57ab8e288c725e452787f3b070ec690f276b
• fa234405c958a9ff22bac7debfbcde452294d73c
• fb672c0b982542eeacce66be67a5bc4ff9567596
• fd72a461bb62dce8989f1c24bdcc6ae6d4eaabc5
• fe59a8d59f6764800ce5b85f2bfbc4db05840bae