Хакеры взломали популярную библиотеку UA-Parser-JS NPM с миллионами загрузок в неделю, чтобы заразить устройства Linux и Windows криптомайнерами и троянскими программами для кражи паролей в ходе атаки цепочки поставок.
Библиотека UA-Parser-JS используется для синтаксического анализа пользовательского агента браузера для определения браузера, движка, ОС, ЦП и типа / модели устройства посетителя.
Библиотека чрезвычайно популярна, с миллионами загрузок в неделю и более 24 миллионами загрузок в этом месяце. Кроме того, библиотека используется в более чем тысяче других проектов, в том числе Facebook, Microsoft, Amazon, Instagram, Google, Slack, Mozilla, Discord, Elastic, Intuit, Reddit и многих других известных компаний.
Взломан проект UA-Parser-JS для установки вредоносного ПО
22 октября злоумышленник опубликовал вредоносные версии библиотеки UA-Parser-JS NPM для установки криптомайнеров и троянских программ для кражи паролей на устройства Linux и Windows.
По словам разработчика, его учетная запись NPM была взломана и использована для развертывания трех вредоносных версий библиотеки.
«Я заметил кое-что необычное, когда мою электронную почту внезапно залило спамом с сотен веб-сайтов (может быть, я не понимаю, что что-то произошло, к счастью, эффект оказался прямо противоположным)», — объяснил Фейсал Салман, разработчик UA-Parser- JS в отчете об ошибке.
Когда скомпрометированные пакеты устанавливаются на устройство пользователя, сценарий preinstall.js проверяет тип операционной системы, используемой на устройстве, и запускает сценарий оболочки Linux или командный файл Windows.
Если пакет находится на устройстве Linux, будет выполнен сценарий preinstall.sh, чтобы проверить, находится ли пользователь в России, Украине, Беларуси и Казахстане. Если устройство не находится в этих странах, сценарий загрузит программу jsextension из 159 [.] 148 [.] 186 [.] 228 и выполнит ее.
Программа jsextension — это майнер XMRig Monero, который будет использовать только 50% ЦП устройства, чтобы его нельзя было легко обнаружить.
Для устройств Windows пакетный файл также загрузит криптомайнер XMRig Monero, сохранит его как jsextension.exe и запустит. Кроме того, пакетный файл загрузит файл sdd.dll [ VirusTotal ] с сайта citationsherbe [.] И сохранит его как create.dll.
Загруженная DLL представляет собой троян, который пытается украсть пароли, хранящиеся на устройстве.
Когда DLL загружается с помощью regsvr32.exe -s create.dllкоманды, она пытается украсть пароли для самых разных программ, включая FTP-клиенты, VNC, программное обеспечение для обмена сообщениями, почтовые клиенты и браузеры.
Список целевых программ можно найти в таблице ниже.
Похоже, что эта атака была проведена тем же злоумышленником, что и другие вредоносные библиотеки NPM, обнаруженные на этой неделе.
Исследователи из компании по обеспечению безопасности с открытым исходным кодом Sonatype обнаружили три вредоносных библиотеки NPM, которые используются для развертывания криптомайнеров на устройствах Linux и Windows практически идентичным образом.
Что делать пользователям UA-Parser-JS?
Из-за широкого воздействия этой атаки на цепочку поставок всем пользователям библиотеки UA-Parser-JS настоятельно рекомендуется проверять свои проекты на наличие вредоносного ПО.
Это включает проверку наличия jsextension.exe (Windows) или jsextension (Linux) и их удаление, если они обнаружены.
Пользователям Windows следует просканировать свое устройство на наличие файла create.dll и немедленно удалить его.
Хотя трояном, крадущим пароли, была заражена только Windows, для пользователей Linux разумно также предположить, что их устройство было полностью взломано.
В связи с этим все зараженные пользователи Linux и Windows также должны изменить свои пароли, ключи и токены обновления, поскольку они, вероятно, были скомпрометированы и отправлены злоумышленнику.
Хотя изменение паролей и токенов доступа, скорее всего, будет сложной задачей, в противном случае злоумышленник может поставить под угрозу другие учетные записи, включая любые проекты, которые вы разрабатываете для дальнейших атак на цепочку поставок.
Последнее обновление 10 месяцев назад — GameZoom
