セキュリティ企業のReversingLabsは7月5日(米国時間)、「IconBurst NPM software supply chain attack grabs data from apps and websites」において、悪意のあるnpm(Node Package Manager)パッケージを利用したソフトウェアサプライチェーン攻撃について報告した。「IconBurst」と名付けられたこの攻撃では、正規のパッケージに類似した悪意のあるパッケージを配布することで、最終的にエンドユーザから機密データを盗み出す。

ReversingLabsの研究者は、npmパッケージマネージャによって配布されるパッケージの中に、難読化された不審なコードを含むパッケージを複数発見したという。これらのパッケージは、ユーザーから機密データを収集することを目的としたJavaScriptコードを含んでおり、もし誤ってWebサイトやモバイルアプリでこれらのパッケージを使用した場合、ユーザーがフォームに入力したデータを盗み出される可能性がある。

これらの悪意のあるパッケージは、amblejsやionic.ioによって配布されている正規の人気パッケージに類似して作られており、数カ月の間に2万7,000回以上ダウンロードされたことが確認されているという。さらに、ReversingLabsによって報告されてすでに削除されたパッケージの他にも、同じアカウントに起因する新しい悪意のあるパッケージも登場し、報告時点ではまだダウンロードできる状態のものもあるとのことだ。

特にダウンロードされた回数の多い不正なパッケージは次のとおり。全パッケージのリストはReversingLabsのレポートに掲載されているが、前述のようにそれ以外の新しいパッケージも登場しているので注意が必要だ。

icon-package (17,774回)

ionicio (3,724回)

ajax-libs (2,440回)

footericon (1,903回)

umbrellaks (686回)

ajax-library (530回)

icon-packageのバージョン履歴 正規のioniconsパッケージと誤認するように偽装されている 引用: ReversingLabs

ReversingLabsのレポートでは、ユーザからデータを盗み出すコードの分析結果や、侵入の痕跡(IoC)などの詳細な情報が公開されている。