Популярная библиотека JavaScript, используемая крупными мировыми технологическими фирмами, стала целью хакеров для распространения вредоносного ПО и установки программ для кражи паролей и майнеров криптовалюты на компьютерах жертв.
Библиотека JavaScript UAParser.js, к которой обращаются более 7 миллионов раз в неделю, используется для обнаружения небольших данных User-Agent, таких как браузер и ОС посетителя, и, как известно, используется Facebook, Microsoft, Amazon, Reddit и многие другие технологические гиганты.
Взлом пакета, который, как сообщается, произошел 22 октября, привел к тому, что злоумышленник опубликовал вредоносные версии библиотеки UAParser.js, нацеленные на компьютеры Linux и Windows.
Согласно предупреждению, опубликованному в пятницу Агентством США по кибербезопасности и безопасности инфраструктуры (CISA), вредоносный пакет мог позволить хакерам получить конфиденциальную информацию или получить контроль над их системой при загрузке на компьютер жертвы.
Злоумышленник получил доступ к учетной записи разработчика и использовал ее для распространения зараженных версий, как сообщил автор пакета Фейсал Салман в обсуждении на GitHub.
Извиняясь за обстоятельства, Салман сказал:«Я заметил нечто необычное, когда моя электронная почта внезапно была завалена спамом с сотен веб-сайтов. Я полагаю, что кто-то взломал мою учетную запись npm и опубликовал несколько скомпрометированных пакетов (0.7.29, 0.8.0, 1.0. 0), который, вероятно, установит вредоносное ПО."
Выявив зараженные версии, Салман пометил каждую из них как содержащую вредоносное ПО и удалил их с платформы.
Один пострадавший пользователь проанализировал скомпрометированные пакеты и обнаружил скрипт, который пытался экспортировать учетные данные своей ОС и копию файла cookie в базе данных браузера Chrome.
Дальнейший анализ Sonatype с точки зрения Bleeping Computer , показывает, что вредоносный код проверяет ОС, используемую на устройстве жертвы, и, в зависимости от используемой ОС, запускает сценарий оболочки Linux или пакетный файл Windows.
Пакет запускал скрипт preinstall.sh для проверки устройств Linux, если пользователь находился в России, Украине, Беларуси и Казахстане. Если бы устройство находилось в другом месте, скрипт загружал бы майнер криптовалюты XMRig Monero, предназначенный для использования 50% мощности процессора жертвы, чтобы избежать обнаружения.
Для пользователей Windows будет установлен тот же майнер Monero в дополнение к трояну для кражи паролей, который, как предполагает Sonatype, является DanaBot – банковским трояном, используемым организованными преступными группировками.
Дальнейший анализ также показал, что похититель паролей также пытался украсть пароли из диспетчера учетных данных Windows с помощью сценария PowerShell.
Пользователям библиотеки UAParser.js рекомендуется проверить версию, используемую в их проектах, и обновить ее до последней версии, свободной от вредоносного кода.
На той же неделе Sonatype также обнаружила еще три библиотеки, содержащие подобный код, снова нацеленные на машины Linux и Windows с майнерами криптовалюты.