Популярная библиотека NPM взломана для установки хищников паролей и майнеров

55
Северокорейские разработчики выдают себя за американских фрилансеров и помогают хакерам правительства ДРПК

Хакеры взломали популярную библиотеку UA-Parser-JS NPM с миллионами загрузок в неделю, чтобы заразить устройства Linux и Windows криптомайнерами и троянскими программами для кражи паролей в ходе атаки цепочки поставок.

Библиотека UA-Parser-JS используется для синтаксического анализа пользовательского агента браузера для определения браузера, движка, ОС, ЦП и типа / модели устройства посетителя.

Библиотека чрезвычайно популярна, с миллионами загрузок в неделю и более 24 миллионами загрузок в этом месяце. Кроме того, библиотека используется в более чем тысяче других проектов, в том числе Facebook, Microsoft, Amazon, Instagram, Google, Slack, Mozilla, Discord, Elastic, Intuit, Reddit и многих других известных компаний.

Взломан проект UA-Parser-JS для установки вредоносного ПО

22 октября злоумышленник опубликовал вредоносные версии библиотеки UA-Parser-JS NPM для установки криптомайнеров и троянских программ для кражи паролей на устройства Linux и Windows.

По словам разработчика, его учетная запись NPM была взломана и использована для развертывания трех вредоносных версий библиотеки.

«Я заметил кое-что необычное, когда мою электронную почту внезапно залило спамом с сотен веб-сайтов (может быть, я не понимаю, что что-то произошло, к счастью, эффект оказался прямо противоположным)», — объяснил Фейсал Салман, разработчик UA-Parser- JS в отчете об ошибке.

Когда скомпрометированные пакеты устанавливаются на устройство пользователя, сценарий preinstall.js проверяет тип операционной системы, используемой на устройстве, и запускает сценарий оболочки Linux или командный файл Windows.

Если пакет находится на устройстве Linux, будет выполнен сценарий preinstall.sh, чтобы проверить, находится ли пользователь в России, Украине, Беларуси и Казахстане. Если устройство не находится в этих странах, сценарий загрузит программу jsextension из 159 [.] 148 [.] 186 [.] 228 и выполнит ее.

Программа jsextension — это майнер XMRig Monero, который будет использовать только 50% ЦП устройства, чтобы его нельзя было легко обнаружить.

Для устройств Windows пакетный файл также загрузит криптомайнер XMRig Monero, сохранит его как jsextension.exe и запустит. Кроме того, пакетный файл загрузит файл sdd.dll [ VirusTotal ] с сайта citationsherbe [.] И сохранит его как create.dll.

Загруженная DLL представляет собой троян, который пытается украсть пароли, хранящиеся на устройстве.

Когда DLL загружается с помощью regsvr32.exe -s create.dllкоманды, она пытается украсть пароли для самых разных программ, включая FTP-клиенты, VNC, программное обеспечение для обмена сообщениями, почтовые клиенты и браузеры.

Список целевых программ можно найти в таблице ниже.

Похоже, что эта атака была проведена тем же злоумышленником, что и другие вредоносные библиотеки NPM, обнаруженные на этой неделе.

Исследователи из компании по обеспечению безопасности с открытым исходным кодом Sonatype обнаружили три вредоносных библиотеки NPM, которые используются для развертывания криптомайнеров на устройствах Linux и Windows практически идентичным образом.

Что делать пользователям UA-Parser-JS?

Из-за широкого воздействия этой атаки на цепочку поставок всем пользователям библиотеки UA-Parser-JS настоятельно рекомендуется проверять свои проекты на наличие вредоносного ПО.

Это включает проверку наличия jsextension.exe (Windows) или jsextension (Linux) и их удаление, если они обнаружены.

Пользователям Windows следует просканировать свое устройство на наличие файла create.dll и немедленно удалить его.

Хотя трояном, крадущим пароли, была заражена только Windows, для пользователей Linux разумно также предположить, что их устройство было полностью взломано.

В связи с этим все зараженные пользователи Linux и Windows также должны изменить свои пароли, ключи и токены обновления, поскольку они, вероятно, были скомпрометированы и отправлены злоумышленнику.

Хотя изменение паролей и токенов доступа, скорее всего, будет сложной задачей, в противном случае злоумышленник может поставить под угрозу другие учетные записи, включая любые проекты, которые вы разрабатываете для дальнейших атак на цепочку поставок.

Последнее обновление 10 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии