Популярная библиотека NPM взломана для установки хищников паролей и майнеров

50
Хакеры используют ошибку Microsoft MSHTML, чтобы украсть кредиты Google и Instagram

Хакеры взломали популярную библиотеку UA-Parser-JS NPM с миллионами загрузок в неделю, чтобы заразить устройства Linux и Windows криптомайнерами и троянскими программами для кражи паролей в ходе атаки цепочки поставок.

Библиотека UA-Parser-JS используется для синтаксического анализа пользовательского агента браузера для определения браузера, движка, ОС, ЦП и типа / модели устройства посетителя.

Библиотека чрезвычайно популярна, с миллионами загрузок в неделю и более 24 миллионами загрузок в этом месяце. Кроме того, библиотека используется в более чем тысяче других проектов, в том числе Facebook, Microsoft, Amazon, Instagram, Google, Slack, Mozilla, Discord, Elastic, Intuit, Reddit и многих других известных компаний.

Взломан проект UA-Parser-JS для установки вредоносного ПО

22 октября злоумышленник опубликовал вредоносные версии библиотеки UA-Parser-JS NPM для установки криптомайнеров и троянских программ для кражи паролей на устройства Linux и Windows.

По словам разработчика, его учетная запись NPM была взломана и использована для развертывания трех вредоносных версий библиотеки.

«Я заметил кое-что необычное, когда мою электронную почту внезапно залило спамом с сотен веб-сайтов (может быть, я не понимаю, что что-то произошло, к счастью, эффект оказался прямо противоположным)», — объяснил Фейсал Салман, разработчик UA-Parser- JS в отчете об ошибке.

Когда скомпрометированные пакеты устанавливаются на устройство пользователя, сценарий preinstall.js проверяет тип операционной системы, используемой на устройстве, и запускает сценарий оболочки Linux или командный файл Windows.

Если пакет находится на устройстве Linux, будет выполнен сценарий preinstall.sh, чтобы проверить, находится ли пользователь в России, Украине, Беларуси и Казахстане. Если устройство не находится в этих странах, сценарий загрузит программу jsextension из 159 [.] 148 [.] 186 [.] 228 и выполнит ее.

Программа jsextension — это майнер XMRig Monero, который будет использовать только 50% ЦП устройства, чтобы его нельзя было легко обнаружить.

Для устройств Windows пакетный файл также загрузит криптомайнер XMRig Monero, сохранит его как jsextension.exe и запустит. Кроме того, пакетный файл загрузит файл sdd.dll [ VirusTotal ] с сайта citationsherbe [.] И сохранит его как create.dll.

Загруженная DLL представляет собой троян, который пытается украсть пароли, хранящиеся на устройстве.

Когда DLL загружается с помощью regsvr32.exe -s create.dllкоманды, она пытается украсть пароли для самых разных программ, включая FTP-клиенты, VNC, программное обеспечение для обмена сообщениями, почтовые клиенты и браузеры.

Список целевых программ можно найти в таблице ниже.

Похоже, что эта атака была проведена тем же злоумышленником, что и другие вредоносные библиотеки NPM, обнаруженные на этой неделе.

Исследователи из компании по обеспечению безопасности с открытым исходным кодом Sonatype обнаружили три вредоносных библиотеки NPM, которые используются для развертывания криптомайнеров на устройствах Linux и Windows практически идентичным образом.

Что делать пользователям UA-Parser-JS?

Из-за широкого воздействия этой атаки на цепочку поставок всем пользователям библиотеки UA-Parser-JS настоятельно рекомендуется проверять свои проекты на наличие вредоносного ПО.

Это включает проверку наличия jsextension.exe (Windows) или jsextension (Linux) и их удаление, если они обнаружены.

Пользователям Windows следует просканировать свое устройство на наличие файла create.dll и немедленно удалить его.

Хотя трояном, крадущим пароли, была заражена только Windows, для пользователей Linux разумно также предположить, что их устройство было полностью взломано.

В связи с этим все зараженные пользователи Linux и Windows также должны изменить свои пароли, ключи и токены обновления, поскольку они, вероятно, были скомпрометированы и отправлены злоумышленнику.

Хотя изменение паролей и токенов доступа, скорее всего, будет сложной задачей, в противном случае злоумышленник может поставить под угрозу другие учетные записи, включая любые проекты, которые вы разрабатываете для дальнейших атак на цепочку поставок.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here