Хакеры взломали популярную библиотеку UA-Parser-JS NPM с миллионами загрузок в неделю, чтобы заразить устройства Linux и Windows криптомайнерами и троянскими программами для кражи паролей в ходе атаки цепочки поставок.
Библиотека UA-Parser-JS используется для синтаксического анализа пользовательского агента браузера для определения браузера, движка, ОС, ЦП и типа / модели устройства посетителя.
Библиотека чрезвычайно популярна, с миллионами загрузок в неделю и более 24 миллионами загрузок в этом месяце. Кроме того, библиотека используется в более чем тысяче других проектов, в том числе Facebook, Microsoft, Amazon, Instagram, Google, Slack, Mozilla, Discord, Elastic, Intuit, Reddit и многих других известных компаний .
UA-Parser-JS загружался миллионы раз в неделю
Источник: NPM-stat.com
Взломан проект UA-Parser-JS для установки вредоносного ПО
22 октября злоумышленник опубликовал вредоносные версии библиотеки UA-Parser-JS NPM для установки криптомайнеров и троянских программ для кражи паролей на устройства Linux и Windows.По словам разработчика, его учетная запись NPM была взломана и использована для развертывания трех вредоносных версий библиотеки.
«Я заметил кое-что необычное, когда мою электронную почту внезапно залили спамом с сотен веб-сайтов (может быть, я не понимаю, что что-то произошло, к счастью, эффект оказался прямо противоположным)», - объяснил Фейсал Салман, разработчик UA-Parser- JS в отчете об ошибке .
«Я считаю , что кто - то было угон моего НОГО счета и опубликовало несколько скомпрометированы пакетов ( 0.7.29, 0.8.0, 1.0.0) , который, вероятно , установить вредоносную , как можно видеть из диффа здесь: https://app.renovatebot.com/package-diff?name=ua- parser-js & from = 0.7.28 & to = 1.0.0 . "
Затронутые версии и их исправленные аналоги:
Вредоносная версия | Фиксированная версия |
0,7.29 | 0,7.30 |
0.8.0 | 0.8.1 |
1.0.0 | 1.0.1 |
Из копий вредоносных NPM, которыми Sonatype поделился с BleepingComputer, мы можем лучше понять атаку.
Когда скомпрометированные пакеты устанавливаются на устройство пользователя, сценарий preinstall.js проверяет тип операционной системы, используемой на устройстве, и запускает сценарий оболочки Linux или командный файл Windows.
скрипт preinstall.js, используемый для проверки типа операционной системы
Если пакет находится на устройстве Linux, будет выполнен сценарий preinstall.sh, чтобы проверить, находится ли пользователь в России, Украине, Беларуси и Казахстане. Если устройство не находится в этих странах, сценарий загрузит программу jsextension [ VirusTotal ] из 159 [.] 148 [.] 186 [.] 228 и выполнит ее.
Программа jsextension - это майнер XMRig Monero, который будет использовать только 50% ЦП устройства, чтобы его нельзя было легко обнаружить.
Сценарий оболочки Linux для установки майнера
Для устройств Windows пакетный файл также загрузит криптомайнер XMRig Monero, сохранит его как jsextension.exe [ VirusTotal ] и запустит. Кроме того, пакетный файл загрузит файл sdd.dll [ VirusTotal ] с сайта citationsherbe [.] И сохранит его как create.dll.
Пакетный файл Windows для установки криптомайнера
Загруженная DLL представляет собой троян, ворующий пароли (возможно, DanaBot ), который пытается украсть пароли, хранящиеся на устройстве.
Когда DLL загружается с помощью regsvr32.exe -s create.dllкоманды, она пытается украсть пароли для самых разных программ, включая FTP-клиенты, VNC, программное обеспечение для обмена сообщениями, почтовые клиенты и браузеры.
Список целевых программ можно найти в таблице ниже.
WinVNC | Fire Fox | Контроль FTP |
Заставка 9x | Apple Safari | NetDrive |
Пульт дистанционного управления ПК | Подключение к удаленному рабочему столу | Бекки |
Учетная запись ASP.NET | Клиент Cisco VPN | Летучая мышь! |
Звонок бесплатный | Быть правым | Перспективы |
Vypress Auvis | FlashGet / JetCar | Eudora |
CamFrog | FAR Manager FTP | Программа оповещения Gmail |
Win9x NetCache | Windows / Total Commander | Mail.Ru Агент |
ICQ2003 / Lite | WS_FTP | IncrediMail |
"& RQ, R&Q" | CuteFTP | Групповая почта бесплатно |
Yahoo! Посланник | FlashFXP | PocoMail |
Digsby | FileZilla | Forte Agent |
Одиго | Командир FTP | Писец |
IM2 / Messenger 2 | BulletProof FTP-клиент | POP Peeper |
Google Talk | SmartFTP | Почтовый командир |
Фаим | TurboFTP | Почта Windows Live |
MySpaceIM | FFFTP | Mozilla Thunderbird |
MSN Messenger | CoffeeCup FTP | SeaMonkey |
Windows Live Messenger | Основной FTP | Стадо |
Paltalk | FTP-обозреватель | Скачать Мастер |
Excite Private Messenger | Фрегат3 FTP | Ускоритель загрузки из Интернета |
Gizmo Project | SecureFX | IEWebCert |
AIM Pro | UltraFXP | IEAutoCompletePWs |
Пандион | FTPRush | Учетные записи VPN |
Триллиан Астра | WebSitePublisher | Миранда |
888Poker | BitKinex | GAIM |
FullTiltPoker | ExpanDrive | Пиджин |
PokerStars | Классический FTP | QIP.Online |
TitanPoker | Fling | JAJC |
PartyPoker | FTP-клиент SoftX | WebCred |
CakePoker | Справочник Opus | Учетные данные Windows |
UBPoker | FTP-загрузчик | MuxaSoft Dialer |
EType Dialer | FreeFTP / DirectFTP | FlexibleSoft Dialer |
Пароли RAS | LeapFTP | Дозвонщик Королева |
Internet Explorer | WinSCP | В.Диалер |
Хром | 32-битный FTP | Расширенный номеронабиратель |
Опера | WebDrive | Windows RAS |
Помимо кражи паролей из вышеуказанных программ, DLL выполнит сценарий PowerShell для кражи паролей из диспетчера учетных данных Windows, как показано ниже.
Кража сохраненных паролей из Windows
Похоже, что эта атака была проведена тем же злоумышленником, что и другие вредоносные библиотеки NPM, обнаруженные на этой неделе.
Исследователи из компании по обеспечению безопасности с открытым исходным кодом Sonatype обнаружили три вредоносные библиотеки NPM, которые используются для развертывания криптомайнеров на устройствах Linux и Windows практически идентичным образом.
Что делать пользователям UA-Parser-JS?
Из-за широкого воздействия этой атаки на цепочку поставок всем пользователям библиотеки UA-Parser-JS настоятельно рекомендуется проверять свои проекты на наличие вредоносного ПО.Это включает проверку наличия jsextension.exe (Windows) или jsextension (Linux) и их удаление, если они обнаружены.
Пользователям Windows следует просканировать свое устройство на наличие файла create.dll и немедленно удалить его.
Хотя трояном, крадущим пароли, была заражена только Windows, для пользователей Linux разумно также предположить, что их устройство было полностью взломано.
В связи с этим все зараженные пользователи Linux и Windows также должны изменить свои пароли, ключи и токены обновления, поскольку они, вероятно, были скомпрометированы и отправлены злоумышленнику.
Хотя изменение паролей и токенов доступа, скорее всего, будет сложной задачей, в противном случае злоумышленник может скомпрометировать другие учетные записи, включая любые проекты, которые вы разрабатываете для дальнейших атак на цепочку поставок.
Bleeping Comuter