IconBurst：一起关于软件供应链攻击的新发现

主要重点

• 研究人员发现了一起名为IconBurst的软件供应链攻击，利用了错字骗术。
• 测试中发现超过两打的恶意Javascript包，通过node包管理器(NPM)传播，目的是窃取用户的表单数据。
• 这些包的名字与合法的包非常相似，开发者容易混淆，进而下载这些恶意包。
• 此类攻击已被下载超过17000次，涉及数以百计的移动及桌面应用程序和网站。

本周，研究人员发现了一种广泛的软件供应链攻击，名为IconBurst。该攻击依赖于错字骗术，通过node包管理器(NPM)传播恶意Javascript包。根据，这些包自六个月前便开始出现，并包含了为窃取用户在应用或网站上输入的表单数据而设计的混淆Javascript。

当研究人员进一步调查时，他们发现了与大量NPM包协同合作的供应链攻击，其中包含jQuery脚本，专门设计用于窃取含有这些脚本的应用程序的表单数据。虽然尚未确定这次攻击的全面影响，研究人员表示这些恶意包可能已被数百甚至数千个下游移动和桌面应用程序及网站所使用。其中一个恶意包的下载次数已超过17000次。

研究表明，威胁行为者利用错字骗术来欺骗开发者，使其将恶意包与合法的包混淆。例如，NPM的ionic-io作者发布了名为icon-
package的18个版本，而这正是此次攻击的代号，该包包含了窃取表单的恶意代码。

“这是一个明显的企图，旨在误导开发者使用此包，而不是，一个拥有超过1000个图标的流行开源图标集，支持网页、iOS、及桌面应用。”

DomainTools的网络安全倡导者TimHelming表示，ReversingLabs的研究突显了一个重要观点：尽管网络罪犯使用了诸多高级技术，但他们仍然经常使用简单的方法来发起攻击——比如创建与合法包名称相似的恶意包。他表示：“这与许多网络钓鱼攻击使用的策略非常相似，模拟的域名可以欺骗网络用户点击恶意URL。罪犯认识并利用了人们在快速移动、承受压力时容易犯的小错误，这些错误最终可能导致更大的后果。所有计算机技术的使用者都应提高警惕，防止域名、软件包或其他物品的欺骗。”

Synopsys网络安全研究中心的首席安全策略师TimMackey指出，开发者在选择应用程序的正确组件时，通常不会仔细审查该组件的实现。尽管存在潜在的实施风险，但开发者往往是根据将新功能快速实施或修复现有功能的速度来进行衡量的。Mackey强调，这意味著他们需要依赖声誉指标来判断某个组件是否可信，如版本号、下载次数、年限、星级和作者的声誉。从事错字骗术攻击的恶意团队很清楚这一动态，并故意将其组件的名称设计得与合法