Malware opdaget i JavaScript-biblioteket, som millioner af mennesker har adgang til hver uge

ETFFIN >> Privatøkonomi > >> Kryptovaluta >> Blockchain

Et populært JavaScript-bibliotek brugt af store globale teknologivirksomheder er blevet målrettet af hackere til at sprede malware og installere adgangskodetyvere og cryptocurrency-minearbejdere på ofrenes maskiner.

UAParser.js JavaScript-biblioteket, som er tilgået mere end 7 millioner gange om ugen, bruges til at detektere User-Agent-data med lille fodaftryk, såsom en besøgendes browser og OS, og er kendt for at blive brugt af Facebook, Microsoft, Amazon, Reddit og mange flere teknologigiganter.

Kapringen af pakken, som angiveligt fandt sted den 22. oktober, så en trusselsaktør udgive ondsindede versioner af UAParser.js-biblioteket for at målrette Linux- og Windows-maskiner.

Hvis den ondsindede pakke blev downloadet til en ofres maskine, kunne den have givet hackere mulighed for at få følsomme oplysninger eller tage kontrol over deres system, ifølge en advarsel udstedt af US Cybersecurity and Infrastructure Security Agency (CISA) i fredags.

Trusselsaktøren fik adgang til udviklerens konto og brugte den til at distribuere de inficerede versioner, ifølge pakkens forfatter Faisal Salman i en diskussion holdt på GitHub.

Salman undskyldte for omstændighederne og sagde:"Jeg bemærkede noget usædvanligt, da min e-mail pludselig blev oversvømmet af spam fra hundredvis af websteder. Jeg tror, nogen kaprede min npm-konto og udgav nogle kompromitterede pakker (0.7.29, 0.8.0, 1.0. 0), som sandsynligvis vil installere malware."

Da han havde identificeret de inficerede versioner, markerede Salman hver enkelt for at indeholde malware og fjernede dem fra platformen.

En berørt bruger analyserede de kompromitterede pakker og opdagede et script, der forsøgte at eksportere deres OS-legitimationsoplysninger og en kopi af deres Chrome-browsers cookies-DB-fil.

Yderligere analyse af Sonatype, som set af Bleeping Computer , viser, at den ondsindede kode vil kontrollere det operativsystem, der bruges på et offers enhed, og afhængigt af det anvendte operativsystem starter et Linux-shell-script eller en Windows-batchfil.

Pakken vil starte et preinstall.sh-script for at kontrollere Linux-enheder, hvis brugeren var placeret i Rusland, Ukraine, Hviderusland og Kasakhstan. Hvis enheden var placeret et andet sted, ville scriptet downloade en XMRig Monero cryptocurrency-miner designet til at bruge 50 % af et offers CPU-kraft for at undgå opdagelse.

For Windows-brugere ville den samme Monero-miner blive installeret ud over en adgangskodestjælende trojan, som Sonatype spekulerer på er DanaBot - en banktrojaner, der bruges af organiserede kriminelle grupper.

Yderligere analyse viste også, at adgangskodestyveren også forsøgte at stjæle adgangskoder fra Windows-legitimationsadministratoren ved hjælp af et PowerShell-script.

Brugere af UAParser.js-biblioteket rådes til at tjekke den version, der bruges i deres projekter og opgradere til den nyeste version, som er fri for den skadelige kode.

I samme uge opdagede Sonatype også yderligere tre biblioteker indeholdende lignende kode, igen målrettet mod Linux- og Windows-maskiner med cryptocurrency-minearbejdere.

Kryptovaluta:Skal du investere? USA linker $5,2 milliarder i Bitcoin-transaktioner til ransomware

En uge tilbage … MTD-nedtælling

Skal jeg købe en ny bil eller brugt bil?

52 ugers pengeudfordring

Sådan sparer du penge hver måned

Blockchain