NPM 供应链突袭影响数百个网站和应用程序

NPM均需应链袭击可以更早2021年12同月，起初应使用了几十个纸制含模糊Ja代码的隐私NPM子系统，破坏了数百个北岸操作系统应用和其网站。正如均需应链必需公司ReversingLabs的研究工作人员所发现的那样，在这项被称作IconBurst的行动背后，危害行为者会应使用诈欺服务器去依赖性那些悄悄找流行软件纸制的开发人员，例如雨伞js和ionic.io NPM 子系统。

如果开发人员被十分相似的子系统取名方案欺骗，危害行为者将在子系统中所添加隐私纸制，从而把嵌入关键字（纸制括使用登录的关键字）的样本窃取到他们的软件或其网站。 举个事例，一项户外活动中所应使用的一个隐私 NPM 纸制（icon-package）就有超过 17,000 次订阅，目的将序列化的关键字样本截获到多个轻易支配的域。

ReversingLabs的逆向技术人员 Karlo Zanki说道，“IconBurst 依赖于拼写错误，这是一种轻易通过公共存储奎提均需软件纸制的系统设计，这些软件纸制的名称与允许软件纸制相似或带有罕见拼写错误。此外，使用截获样本的域之间的相似性确实，该户外活动中所的各个子系统都在同一个与会者的支配之下。”

IconBurst 隐私 NPM 纸制的部分沙罗 (ReversingLabs)

一些隐私子系统依然可均需订阅

尽管reveringlabs制作组在2022年7同月1日联系了NPM必需制作组，通报了他们的发现，一些IconBurst隐私纸制依然可以在NPM注册表中所应使用。

Zanki补充说道:“虽然一些已取名的纸制从未从NPM中所撤下了，但大多数依然可以订阅。 由于相当多有开发组织有能力检测开源奎和子系统中所的隐私代码，因此袭击短时间了几个同月才引起我们的忽略。”

尽管研究工作人员可以编制一份IconBurst均需应链袭击中所应使用的隐私软件纸制沙罗，但其影响唯未确定，因为无法明白自2021年12同月以来，有多少样本和证书通过备受感染的软件和页面被盗。 起初唯一举例来说的指标是每个隐私NPM子系统被装有的连续，而ReversingLabs的统计样本相当惊人。

Zanki 说道：“虽然目前唯不清楚这次袭击的全部之内，但我们发现的隐私程序纸制有可能被数百甚至数千个北岸静止和操作系统软件以及其网站应使用。 捆绑在 NPM 子系统中所的隐私代码在应使用量未知的静止和操作系统软件和页面中所运行，收集了无数的其他用户样本。我们制作组确定的 NPM 子系统的总订阅量已超过 27,000 次。”

卡巴斯基为TinyCheck创设官网，以协助全球备受害者做出遏制

2022.07.06

而今电脑系统：漏洞通缉令网络服务HackerOne员工窃取漏洞信息顺利进行信托基金、破坏者声称攻破IBM与史丹佛大研读

2022.07.05

2022南湖论剑 | 范渊：让小数21世纪充满信任

2022 .06.28