近期，一次可以追溯到2021年12月的NPM供應鏈攻擊使用了幾十個包含模糊Javascript代碼的惡意NPM模塊，并破壞了數百個應用和網站。正如供應鏈安全公司ReversingLabs的研究人員所發現的那樣，這一行動(被稱為IconBurst)背后的威脅行為者針對一些開發者使用URL劫持，如gumbrellajs和ionic.io NPM模塊。

他們通過非常相似的模塊命名方式來誘騙受害者，添加惡意軟件包旨在竊取嵌入表單(包括用于登錄的表單)的數據到他們的應用程序或網站。例如，該活動中使用的一個惡意NPM軟件包（icon-package）有超過17,000次下載，為的就是將序列化的表單數據竊取到多個攻擊者控制的域。ReversingLabs的逆向工程師Karlo Zanki說，IconBurst依賴于URL劫持，這些惡意軟件包的名稱與合法的文件類似。此外，用于泄露數據的域之間的相似性表明，該活動中的各個模塊都在同一個參與者的控制之下。

雖然ReversingLabs 團隊于2022年7月1日已聯系了NPM安全團隊，但NPM注冊表中仍然存在一些 IconBurst 惡意軟件包。“雖然已經從NPM中刪除了一些，但在本報告發布時大多數仍然可供下載，”Zanki說，“由于很少有開發組織能夠檢測開源庫和模塊中的惡意代碼，因此攻擊持續了幾個月才引起我們的注意。”

盡管研究人員可以編制一份用于IconBurst供應鏈攻擊的惡意軟件包列表，但其影響尚未確定，因為無法知道自去年12月以來通過受感染的應用程序和網頁竊取了多少數據和憑據。

當時唯一可用的指標是每個惡意 NPM 模塊的安裝次數，而ReversingLabs的統計數據相當驚人。“雖然目前尚不清楚這次攻擊的全部范圍，但我們發現的惡意軟件包可能被數百甚至數千個下游移動和桌面應用程序以及網站使用。捆綁在NPM模塊中的惡意代碼正在未知數量的移動和桌面應用程序和網頁中運行并被獲取大量用戶數據，最后，我們團隊確定的NPM 模塊的總下載量已超過 27,000 次。”

參考來源：https://www.bleepingcomputer.com/news/security/npm-supply-chain-attack-impacts-hundreds-of-websites-and-apps/