En enda attack på NPM:s försörjningskedja ledde till kompromiss mellan tusentals webbplatser och stationära applikationer, fann forskarna.
Enligt ReversingLabs har en illvillig aktör känd som IconBurst skapat en serie skadliga NPM-moduler som kan exfiltrera data från serialiserade formulär och ge dem namn som är nästan identiska med andra legitima moduler.
Detta är en populär attackteknik som kallas typosquatting. I grund och botten försöker angriparna att imitera (öppnas i en ny flik) legitima utvecklare. Sedan laddar utvecklare som har bråttom eller inte uppmärksammar detaljer som npm-namn ned modulerna och integrerar dem i sitt arbete.
Tiotusentals nedladdningar
"Likheterna mellan de domäner som används för att exfiltrera data tyder på att de olika modulerna i denna kampanj är under kontroll av en enda aktör", förklarade Karlo Zanki, omvänd ingenjör på ReversingLabs.
Teamet kontaktade NPM:s säkerhetsavdelning tidigare denna månad med sina resultat, men några skadliga paket är fortfarande aktiva.
"Även om några av de namngivna paketen har tagits bort från NPM, är de flesta fortfarande tillgängliga för nedladdning vid tidpunkten för denna rapport," tillade Zanki. "Eftersom väldigt få utvecklingsorganisationer har förmågan att upptäcka skadlig kod i bibliotek och moduler med öppen källkod, pågick attackerna i månader innan de kom till vår kännedom."
Att bestämma exakt hur mycket data som stulits är nästan omöjligt, tillade forskarna. Kampanjen har varit aktiv sedan åtminstone december 2021.
"Även om omfattningen av denna attack inte är känd ännu, är det troligt att hundratals, om inte tusentals, mobil- och stationära appar och webbplatser använder de skadliga paketen vi upptäckte," sa Zanky.
"NPM-modulerna som identifierats av vårt team har samlats ned mer än 27 000 gånger."
Via BleepingComputer (öppnas i en ny flik)